22 déc

Google permet de cracker des mots de passe

Catégorie web  |  Tag , , , , ,   |  1 Commentaire

J’ai abordé il y a quelque temps ici-même une technique permettant de cracker très rapidement des mots de passe. Le principe s’appuyait sur le logiciel Ophcrack  et d’énormes bases de données de mots de passe pré-hashés.

Je viens de tomber sur un autre article particulièrement intéressant, sur Light Blue Touchpaper. L’auteur y explique que son blog sous WordPress a récemment été hacké par quelqu’un qui avait tout simplement créé un compte utilisateur sur le blog puis trouvé le moyen de lui donner les droits administrateur. Rien de très grave jusque là, l’auteur ayant rapidement désactivé le compte en question. Mais avant de supprimer toute trace du passage de l’individu malveillant, il s’est dit que cela pourrait être intéressant de trouver le mot de passe qu’avait employé le hacker pour s’enregistrer sur le blog.

Il faut savoir que les mots de passe des utilisateurs WordPress sont stockés dans la base de données sous leur forme hashée (au format MD5). Pour rappel, le hashage d’une donnée est une technique qui permet d’obtenir une empreinte unique de cette donnée. C’est beaucoup utilisé en cryptographie car il est impossible à partir de l’empreinte hashée de réaliser l’opération inverse et de décrypter l’information, à moins de faire une empreinte de toutes les combinaisons de données possibles et de les comparer à l’empreinte initiale.

Exemple de hashage

Notre blogueur s’attèle donc à cette tache. Il récupère l’empreinte MD5 du mot de passe utilisée par le hacker et code un script qui va réaliser les empreintes de tous les mots du dictionnaire anglais. Il essaye aussi de rajouter des numéros à la fin des mots. Sans succès. Il tente alors sa chance avec le dictionnaire russe, ayant trouvé des commentaires en russe dans le code d’attaque laissé par le pirate. Toujours sans succès.

Il aurait pu continuer longtemps ses recherches, essayer l’outil Ophcrack mentionné plus haut et aurait probablement fini par trouver, mais au bout d’un certain temps et surtout après s’être donné beaucoup de mal. Au lieu de ça, il a simplement lancé une recherche de l’empreinte MD5 sur Google.

Le résultat ne se fait pas attendre, il tombe sur 2 résultats. L’un est une page généalogique listant des personnes dont le surnom est Anthony. L’autre, une annonce pour la vente d’une maison indiquant “Please Call for showing. Thank you, Anthony”. Et effectivement, le mot de passe employé par le hacker s’est révélé être Anthony.

Le hash du mot de passe était indexé dans Google, car il apparaissait tout simplement dans le lien d’une page web. C’est assez fréquent que les développeurs hashent le nom d’un fichier pour lui donner un identifiant unique par exemple. Google indexe donc probablement des quantités phénoménales d’empreintes, et se comporte donc comme un outil de recherche dans une base de données pré-hashées pratiquement sans limite (et surtout disponible à tout un chacun).

Un conseil donc, lorsque vous vous enregistrez sur des sites ou des blogs, n’hésitez pas à utiliser des mots de passe très long et si possible non-issus d’un quelconque dictionnaire. En attendant que les moteurs de blogs type WordPress mettent en place du salting, qui consiste à ajouter à votre mot de passe avant de le hasher, une clef plus ou moins longue qui compliquera de façon exponentielle la tache des hackers.

19 déc
19 déc

La version 2 de Launchy est arrivée

Catégorie software  |  Tag , , ,   |  6 Commentaires

Je voulais parler de Launchy depuis un moment, et l’occasion se présente avec la sortie de la version 2 pas plus tard qu’hier.

Pour ceux qui ne connaissent pas encore Launchy, il s’agit d’un lanceur d’applications, vous évitant de passer par le menu Démarrer pour executer vos logiciels préférés. Ainsi, d’une simple combinaison de touches (Alt+Space par défaut, mais configurable à loisir), vous appelez Launchy et commencez à saisir les premières lettres de l’application que vous souhaitez lancer. L’auto-complétion fait le reste, il ne reste qu’a valider.

Launchy en action

Mais ça ne s’arrête pas là, de nombreux plugins permettent d’ajouter des fonctionnalités. Par exemple, installé par défaut, le plugin Calc permet de faire des calculs directement dans Launchy sans avoir à lancer la calculatrice Windows.

Quelques exemples des possibilités:

  • Search Google
    Type in google, then tab, then your search query and press enter
  • Check the Weather
    Type in Weather, then tab, then your zip code or city,state and press enter
  • Search other sites
    Other sites you can search include wikipedia, msn, yahoo, amazon, netflix, imdb, and more.
  • Browse your computer
    Type in c:, then tab, then a folder or file, hit tab, and continue
  • The Launchy Calculator
    Did you know that Launchy has a built in calculator? Type in some algebra and see what happens!
  • Index your Bookmarks & Folders
    Directory: C:\Documents and Settings\user\Favorites
    File Type: .url
  • Index your Music
    Directory: My Documents
    File Types: .mp3 .aac .ogg
  • Index your Pictures
    Directory: My Documents
    File Types: .jpg .gif .bmp
  • Index your Documents
    Directory: My Documents
    File Types: .doc .pdf .xls .ppt
  • Index custom Commands
    Directory: Your Custom Folder
    File Types: .exe .bat .lnk

Cette version 2 apporte surtout une amélioration graphique, des effets de fade-in/out assez sympa, de la transparence et une fenêtre de configuration plus lisible et pratique. Personnellement, j’utilise Launchy depuis plusieurs mois maintenant, et il m’est devenu indispensable et totalement instinctif. Plus besoin du menu Démarrer…

14 déc

A voir… [5]

Catégorie video  |  Tag , , ,   |  Pas de commentaires

Previously: A voir… [1], [2], [3] et [4]

  • Ca faisait un petit bout de temps que je n’avais pas fait de post “A voir…”: quelques vidéos insolites, amusantes, ou présentant de nouvelles technos à ne pas rater. Rattrapons un peu le retard, avec pour commencer cette table de mixage du futur. Ca à l’air un peu confus au premier abord, mais je pense qu’en pratiquant un peu, ça peu devenir vraiment sympa. En tout cas, c’est pratique, plus besoin de prévoir la boule à facettes, elle est déjà sur la table.
    [youtube Te2FuvkfS9g nolink]
  • Séquence animation maintenant, avec les vidéos de l’ESMA (Ecole Supérieure des Metiers Artistiques) dont Emob se fait l’écho et publie une belle sélection de courts métrages. Le niveau est impressionnant, tant par la qualité des animations que par les scénarii particulièrement brillants. Je vous propose l’une de ces oeuvres qui m’a bien fait rire, et vous invite à consulter les autres sur le site d’Emob.
    [dailymotion 4uLJPlQWgr8xFk5uA nolink]
    Tong, réalisé par David Cellier, Florent Limouzin et Arnaud Real
  • Enfin, puisqu’on est dans les films, restons-y, avec cette vidéo sur /film qui analyse LA scène cruciale du film de Sofia Coppola “Lost in translation” et tente de répondre à la fameuse question: “Mais que murmure Bill Muray à l’oreille de Scarlett Johansson avant de la quitter ?”. Alors, que ce soit bien clair, tout cela n’est que bullshit, le prétexte du traitement digital pour reconstituer la phrase est tout moisi, on pourrait lui faire dire ce que l’on veut, comme: “bouges pas de là, je vais juste chercher le pain, on se fait un plateau télé”. Mais, c’est juste pour le plaisir de revoir cette scène…
    [youtube 5MV7Sym8bIQ nolink]
14 déc

Une nouvelle présentation des vidéos “related” sur Youtube

Catégorie web  |  Tag , , ,   |  2 Commentaires

Youtube vient d’ajouter une nouvelle fonctionnalité pour afficher les vidéos étant en rapport avec celle actuellement visionnée. Pour y accéder, il faut passer la vidéo en mode plein écran, puis cliquer sur l’icône représentant un réseau en bas à gauche.


Cliquez sur l’image pour la voir en grand

C’est plutôt joli à regarder, ça ressemble fortement au mode de navigation de Musicovery (que j’aime beaucoup par ailleurs, et dont j’avais parlé dans un précédent article). Maintenant, est-ce vraiment utile ? Mouais, bof… Personnellement, je préfère la petite liste de vidéos “related” à la fin du visionnage directement dans la fenêtre flash (d’autant plus que je ne passe pratiquement jamais en plein écran sur Youtube, Dailymotion et autres…).

13 déc

Iconisez vos liens en CSS

Catégorie web  |  Tag , , ,   |  Pas de commentaires

Voila un petit package bien pratique proposé chez Pooliestudios, Iconize Textlinks with CSS, qui vous fournit les icônes et le code CSS permettant d’afficher automatiquement à coté de chaque lien vers un type de fichier spécifique, l’icône qui lui correspond. Quelques exemples dans l’image ci-dessous.


Cliquez sur l’image pour la voir en grand

Ca couvre un bon paquet d’extensions (de fichiers, mais aussi de services comme les mails, les clients IM, les vidéos online, etc…). Et si besoin d’en rajouter, il suffit de trouver une icône et de s’inspirer du code dans le fichier CSS fournit. Les icônes proposées ici viennent de chez famfamfam, que je vous invite à visiter pour trouver votre bonheur.

a[href$='.pdf'] {
padding: 5px 20px 5px 0;
background: transparent url(icons/icon_pdf.gif) no-repeat center right;
}

C’est tout con, mais ça peut se révéler bien pratique sur un blog ou un site d’entreprise proposant de nombreux liens vers des documents (Word, PDF, etc…) pour que les visiteurs identifient rapidement le type de lien sur lequel ils cliquent.

11 déc

Sauvegardez et restaurez tout votre environnement Firefox avec FEBE

Catégorie software  |  Tag , , , , , ,   |  2 Commentaires

Ayant récemment réinstallé mon PC, je me suis rendu compte que la re-configuration de Firefox me prenait beaucoup de temps. En effet, entre l’installation de mon thème préféré, de mes nombreuses extensions, mes petites configurations perso dans les différents menus, ma barre de marque-pages personnelle, et tutti quanti…, c’est presque plus long à faire que d’installer le Servive Pack 2 de Windows XP (ça, c’est de la comparaison!).

Puis je suis tombé sur l’extension FEBE (littéralement: Firefox Environment Backup Extension), qui comme son nom l’indique va vous permettre de sauvegarder tout votre environnement Firefox de façon très simple. Et quand je dis tout, c’est vraiment tout: thèmes, extensions, marque-pages, préférences, cookies, fichiers userChrome.css et userContent.css, noms d’utilisateurs et mots de passe, plugins de recherche, historiques, et j’en passe…

Cliquez sur toutes les images ci-dessous pour les voir en grand

Ensuite, vous spécifiez l’emplacement de la sauvegarde (possibilité d’horodater les sauvegardes pour conserver de multiples versions), et vous planifiez le tout de façon très fine (sauvegarde journalière, hebdomadaire ou mensuelle) ou déclenchez la sauvegarde manuellement. La planification se révèle être un plus indéniable, car cela vous permet d’être sûr de sauvegarder régulièrement vos marques-pages et même des versions à jour de vos extensions par exemple.

Ainsi, après une ré-installation complète de Firefox, ou si vous souhaitez dupliquer votre environnement Firefox d’un ordinateur vers un autre, il vous suffira juste de réinstaller l’extension FEBE et de restaurer ce que vous souhaitez (soit le profil complet, soit seulement certaines parties, comme par exemple, telle ou telle extension). Le gain de temps est indéniable!

FEBE rejoint donc ma longue liste d’extensions indispensables pour Firefox, qu’il faudra d’ailleurs que je partage avec vous dans un prochain article.

10 déc

Mes premières fois de geek

Catégorie blog  |  Tag , , , , ,   |  2 Commentaires

Je me suis encore fait en-chainer par Mox et cette fois l’idée consiste à fouiller les tréfonds de ma mémoire pour y retrouver mes premières expériences de geek. C’est donc parti pour un voyage dans le temps.

  • Premier ordinateur
    Thomson MO5Cela doit être au milieu des années 80. Au delà des décevants Thomson MO5 utilisés à l’école primaire, dont je m’amusais à inverser les touches molles pendant les cours d’un ennui profond (ce qu’on est taquin, lorsqu’on est jeune), j’ai vraiment accroché à l’informatique grâce à l’achat par mon père d’un Sony MSX Hit-Bit HP75, sorte de croisement entre une console de jeux (des cartouches de jeux pouvant s’insérer sur le dessus) et un Amstrad CPC.


    Cliquez sur l’image pour la voir en grand

    C’est à cette époque que je commence à programmer en BASIC en utilisant la documentation fournie avec la bête et un journal qui paraissait mensuellement avec des bouts de code dedans. Des heures passées à enchainer des lignes de code, les sauvegarder sur le lecteur de cassettes (optionnel), tout ça pour afficher 3 pixels à l’écran. Mais le mal est fait, une passion est née: je serais informaticien quand je serais grand!

  • Première console
    Pong La toute première fois que j’ai joué sur une console, c’était à Pong. Mais impossible de retrouver le modèle exact, il y en a tellement. Sinon, ma première console rien qu’à moi, c’était en 1990, une Sega Master System 2. Et une nette préférence pour les jeux de plateformes: Sonic the Hedgehog et Alex Kidd…

    Sega Master System II

  • Premier contact avec Internet
    Pendant mon BTS Informatique Industrielle, en 1994/95. A l’époque, le contact est réduit au strict minimum (juste le coté technique du truc, les bases du langage HTML…). C’est à partir de 1996 que je deviens un addict du surf et des mails lorsque je commence à bosser par alternance: l’accès web au bureau est permanent et rapide (accès T1), et j’ai beaucoup, mais beaucoup de temps à tuer, je découvre alors les mystères d’Internet, des newsgroups, etc…
  • Premier site Internet
    1996/1997, j’avais alors créé un petit site web pour parler de mon autre grande passion: le cinéma. Au programme, critiques et fiches de films et un peu de technique sur le home-cinéma. Je crois que c’était hébergé gratuitement chez Multimania… mais plus aucun souvenir de comment j’avais appelé ça. Et j’ai égaré les sources depuis bien longtemps.
  • Premier achat online
    Tout pareil que Mox: 1998/99, achat d’un ensemble home-cinema, besoin d’alimenter mon lecteur DVD flambant neuf en films de qualité et la France étant un peu à la traine, j’achète mes DVD (zone 1) sur Internet. Me souviens encore du challenge qui consistait à importer des DVD en France sans se faire choper par la douane et donc éviter les taxes. Pour info, ce fidèle lecteur a rendu l’âme l’année dernière après donc presque 8 ans de bons et loyaux services… c’est dire s’il a été rentabilisé (ça m’avait presque couté un rein, à l’époque).

Voilà, la séquence nostalgie est terminée. Je ne chaine personne, mais je vous invite à faire de même sur vos blogs respectifs et à laisser un lien dans les commentaires ici même (ou à tout faire direct dans les commentaires pour les “sans-blog”).