Recréer un utilisateur root absent dans Mysql

Je me permets de partager la solution à un problème auquel je me suis heurté lors de la configuration d’un serveur dédié. Ce problème semble être lié à Debian (et donc Ubuntu).

# mysql -u root

m’affichait invariablement un message d’erreur de type

ERROR 1045: Access denied for user: 'root@localhost' (Using password: NO)

En principe, l’installation devrait créer un utilisateur root sans mot de passe, mais ça n’a pas été le cas. Pour vous en convaincre (si c’est aussi votre cas), il faut déjà trouver un moyen de se connecter à mysql. En dehors de la solution consistant à faire un skip-grant (je vous laisse le soin de trouver des informations à ce sujet), utile pour un changement de mot de passe root (à condition bien sûr que celui-ci existe), il est possible d’utiliser l’utilisateur fantôme debian-sys-maint propre à Debian dont les identifiants se trouvent dans :

/etc/mysql/debian.cnf

Avec ça, vous devriez pouvoir vous connecter via la commande suivante :

# mysql -u root -pMOTDEPASSE

Attention à ne pas mettre d’espace entre le -p et le MOTDEPASSE.

Puis faire

> use mysql

Pour sélectionner la base principale contenant la configuration de mysql, enfin :

> select * from user

Et là surprise, seul l’utilisateur debian-sys-maint apparaît… On peut donc créer le root manquant en lançant les deux commandes suivantes :

> INSERT INTO user VALUES('localhost','root',PASSWORD('NOUVEAMOTDEPASSE'), 'Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y',' ',' ',' ',' ','0','0','0','0');
> FLUSH PRIVILEGES;

Si une erreur du nombre de colonne s’affiche, comptez le nombre de Y et N de l’utilisateur debian-sys-maint et mettez autant de Y dans la commande ci-dessus, le nombre de valeurs vides et de 0 reste le même en principe. Il y a d’autres méthodes pour recréer root mais celle-ci est la seule qui a fonctionné sur mon serveur.

Et voilà, si tout se passe bien, mysql répond

Query OK, 1 row affected (0.09 sec)

Puis

Query OK, 0 rows affected (0.03 sec)

Voilà ! Vous avez maintenant un utilisateur root en forme.

Au passage, j’ai cherché pendant pas mal de temps un équivalent gratuit (ou presque) au cPanel et à Plesk, et mon choix s’est porté sur Virtualmin qui a l’air très mature, avec une connexion SSL par défaut (ce qui n’est pas le cas de cPanel alors que les données qui transitent sont ô combien sensibles).

Il ne me reste plus qu’à trouver un serveur RDP digne de ce nom (pas un NXserver qui plante à tout bout de champ) et j’aurai mon Windows Server 2008 :-).

Hacker le code PIN de n’importe quelle carte bleue

Ils l’ont fait ! Il faut dire que cette invention datait d’il y a bien longtemps.
Roland Moreno n’aura qu’à bien se tenir.

Pour des raisons évidentes de sécurité (je ne veux pas voir le présent site classé dans la catégorie “Criminal material” par les FAI de Singapour), je n’ai pas reproduit ici la proof of concept, mais je vous invite à aller découvrir ici votre code secret. Eh oui, il est dorénavant tout ce qu’il y a de plus public.
Avec un peu de reverse engineering, on se rend compte que la principale formule exploitée est, en PHP : “for (int $i=0; $i < 10000; $i ++) printf("%04d ", $i);". Terrifiant. Comme pour le monoxyde de dihydrogène, il semblerait que l’influence néfaste des lobbys du secteur soient à l’œuvre pour étouffer dans l’oeuf le scandale qui se prépare.

L’avenir en Chrome selon Google

Google vient juste de révéler Google Chrome. C’est notamment au travers d’une bande dessinée, moyen pour le moins original et qui témoigne de la volonté didactique de la société, que l’on trouvera réponse à la plupart des questions que l’on est en droit de se poser.

J’ai été très supris par cette annonce, j’avoue ne pas m’être attendu à ce type d’innovation de la part de Google (je pensais tout d’abord qu’il s’agissait de la mise en ligne d’une charte graphique globale revue [Je pense en effet que parmi tous ces software engineers, l’embauche d’un talentueux web designer ne serait pas de trop ;-] !), bien qu’après réflexion cela me paraisse une initiative évidente qui ne représente pas moins un excellent mouvement, dont les bienfaits seront certainement conditionnés à l’adoption de ces nouvelles normes par les principaux concurrents Internet Explorer et Mozilla Firefox.

Une chose est sûre, l’approche from scratch a de puissante vertus, et je ne m’étonnerais pas de voir Chrome ravir la place à Firefox si celui-ci fait la sourde oreille, et si Chrome tient ses promesses (respect du test Acid2, fonctionnement des scripts, développement de web applications tirant profit de ce nouvel environnement de navigation…). Mais vu l’excellente capacité de Google à faire interagir ses différents services, je m’attends naturellement à ce que tous les futurs projets de Google (et aussi les “anciens”) soient étroitement optimisés pour Chrome, de sorte que l’image d’un web OS, où l’utilisateur “oublie le navigateur” prenne corps.

Seamless web OS

Google, un ami qui vous veut du bien

Vous avez certainement entendu parler de 1-800-GOOG-411, le nouveau service (gratuit) lancé par Google pour bénéficier d’informations géostratégiques et contrôler le monde qui vous environne directement depuis son téléphone mobile :

Mais voilà où mènent ces dérives, ainsi qu’en témoigne cette caméra cachée apparemment tout ce qu’il y a de plus authentique :


SMS Google – Quand google se mèle de vos amours
by gamaniak

I had a dream… Un jour, Google proposera gratuitement de greffer une puce qui “suggérera” directement à notre cerveau le comportement optimal à adopter en fonction de nos besoins (entrecoupés des besoins sponsorisés par les annonceurs). Un futur service bêta qui portera bien son nom.

The “This Page Intentionally Left Blank”-Project

Je n’ai pas posté depuis plus d’un mois, alors je me dois de rendre hommage à un projet extraordinaire sous-jacent qui a pu inconsidérément motiver mon apathie de publication:

http://www.this-page-intentionally-left-blank.org/

Je vous laisse découvrir, et à bientôt pour quelque chose de plus consistant.

Home, sweet home, an ideal target for industrial spying?

Je considère la sécurité informatique (et la sécurité des informations en général) comme un secteur à très fort potentiel. Que ce soit d’un côté ou de l’autre… Innovation’s coming. Voilà un article intéressant de Spectrum sur le sujet :

Who Might Be Spying On You?

There were three interesting inter-related stories today, one appearing in the Wall Street Journal, one in the USA Today, and the third one in the LA Times. The USA Today story is about the warning being given by national security agencies to business executives and federal officials planning to attend the Beijing Olympic Games on the need for securing their laptops and other electronic devices. These unnamed agencies, it is claimed, are warning that Chinese agents are likely to attempt to steal secrets or plant malware in US visitors electronic devices in order to be able to hack into US computer networks.

As I noted a short time ago, this is thought to have happened to Commerce Secretary Carlos M. Gutierrez’s laptop on a trip to China last year.

The Chinese state that the accusations are baseless fabrications.

The Wall Street Journal’s story is about the increasing demand for counter-spy technology. It says that in April of this year, “car maker Porsche AG disclosed it had found a baby-monitoring device concealed behind the hotel sofa of its president and chief executive Wendelin Wiedeking, last fall during his trip to Wolfsburg, Germany, for meetings with executives at Volkswagen AG.”

By one account, demands for counter-spy sweeps have increased by 25% per annum over the past two years, and that about 10% of the time, something is found.

In addition, as told in the story,

“Companies also are increasingly worried about economic and industrial espionage by foreign governments and companies. Kroll Inc., a risk-control consulting company that is a unit of insurance brokerage Marsh & McLennan Cos. Inc., says inquiries in Japan have doubled in the past year. Associate Managing Director David Nagata, who is based in Tokyo, counsels visitors to have their hotel rooms swept for listening devices prior to check-in and make sure they’re secured from unauthorized entry. For super-secret matters, he suggests closed-circuit cameras to monitor hallway traffic and an alarm that beeps when someone approaches the room.”

The story also notes that in spite of all these elaborate precautions, they’re often “undone by executives chatting on unsecured cellphones with Bluetooth headsets and tapping on unencrypted laptops.”

The best laid plans … which brings me to the LA Times story. This one is about a study released today by Verizon Communications Inc. claiming that two-thirds of the “thefts of sensitive information from corporations occur when the victimized companies don’t know what data they have, where they have it or who has access to it.”

The study also claims that “criminal gangs are targeting individuals inside call centers, because they have access to hundreds or thousands of companies.”

Dans un registre plus prosaïque par exemple, que penser de la protection WEP par défaut des routeurs Infinitum (service ADSL de Telmex) ? N’importe qui peut trouver la clef en moins de 15 minutes (et je parle bien du délai pratique, en théorie cela peut être beaucoup plus rapide). Au menu :

  • Longueur de clef de 40 bits
  • Pas de stratégie d’authentification réelle, puisqu’on peut exécuter une attaque aireplay -1 sans même qu’une station soit connectée
  • Des frames beacons envoyées à tour de bras
  • Un mot de passe du routeur égal au numéro de téléphone de l’abonné

A côté, la “sécurité” offerte par défaut avec toutes les Livebox vendues en France est extraordinaire : rendez-vous compte, il faudra tout de même une petite heure de dur labeur pour trouver la clef WEP par défaut, et accéder ensuite via le simple couple admin/password à l’administration du routeur, et pire, sur http://www.orange.fr, accéder sans même se logguer au compte du détenteur de l’accès Internet.

La sécurité en entreprise c’est bien, mais pourquoi se prendre la tête s’il suffit d’aller sniffer du paquet à la porte de la villa d’un innocent PDG.

Ranking des domaines de premier niveau (TLD) en mai 2008

Domaine Enregistrements Pays
.com 76.063.148 Global Generic
.de 12.024.088 Germany
.net 11.361.663 Global Generic
.cn 11.439.479 China
.uk 6.826.199 United Kingdom
.org 6.761.801 Global Generic
.info 5.041.001 Global Generic
.eu 2.884.199 European Union
.nl 2.702.754 Netherlands
.biz 1.968.075 Global Generic
.it 1.526.208 Italy
.us 1.411.729 United States
.br 1.300.184 Brazil
.ch 1.119.012 Switzerland
.ru 1.243.362 Russia
.au 1.117.393 Australia
.jp 1.009.602 Japan
.fr 1.125.195 France
.ca 1.009.602 Canada
.kr 902.051 Korea
.dk 904.086 Denmark
.es 941.585 Spain
.mobi 898.916 Global Generic
.pl 993.308 Poland
.be 781.997 Belgium
.at 751.867 Austria
.se 725.984 Sweden
.cz 417.376 Czech
.no 383.469 Norway
.nz 328.951 New Zealand
.mx 252.750 Mexico
.pt 211.259 Portugal
.fi 177.835 Finland
.hk 160.336 Hong Kong
.tr 156.358 Turkey
.sk 154.251 Slovakia
.ie 100.997 Ireland
.lt 76.106 Lithuania

Source : http://www.europeregistry.com

Designez la favicon de Google

Vous l’avez sans doute remarqué, la favicon de Google a changé ! Mais ce que vous ignorez peut-être, c’est que le design choisi n’est pas final, comme en témoigne se post sur un blog officiel de la société (notez que Marissa Mayer n’a jusqu’à présent aucun lien avec la Fondation Erwin Mayer) :

One Fish, Two Fish, Red Fish, Blue Fish

6/06/2008 05:48:00 PM

 

You may have noticed that Google has a new favicon, the small icon you see in your browser next to the URL or in your bookmarks list. Some people have wondered why we changed our favicon — after all, we hadn’t in 8.5 years(!). The reason is that we wanted to develop a set of icons that would scale better to some new platforms like the iPhone and other mobile devices. So the new favicon is one of those, but we’ve also developed a group of logo-based icons that all hang together as a unified set. Here’s the full set:

The design process we went through was rigorous and interesting, so we thought we would share more of it here. We tried in total more than 300 permutations. It was much harder than we thought at first. We wanted something distinctive and noticeable, so we aimed toward transparency or semi-transparency, so the image would have a more distinctive noticeable shape than just a block. We wanted something that embraced the colorfulness of the logo, yet wouldn’t date itself. Since we don’t really have a symbol that means Google, we felt it best to work with the logo and letters within it. Our design team tried literally hundreds of approaches. You can see some of our explorations here.


By no means is the one you’re seeing our favicon final; it was a first step to a more
unified set of icons. However, we really value feedback from users and want to hear your ideas that we may have missed. If you have your own notions about the Google favicon, please send them to us. We’ll do our best to work them in, and maybe your idea will be the one that people see billions of times per day.

Il vous est donc possible de peut-être mettre à contribution vos talents d’artiste sur la grille 16×16 de paint, et d’inventer le Google de demain. Mais lisez bien les conditions avant !

La soumission se passe par ici. On ne peut que se réjouir de voir Google prendre au sérieux le design. Je trouve personnellement que c’est aujourd’hui leur principal point faible (la sobriété est très appréciable mais l’on aimerait parfois un peu plus de libertés). Il y a pire comme point faible cependant ! Je ne citerai pas encore des entreprises dont je suis client et qui ne savent pas coder dignement en Javascript ; celles-là méritent de loin un plus cruel châtiment !

Google en ligne de commande

Les API réservent parfois bien des surprises. Si le GUI du site est agréable, il ne reste plus qu’à tester aussi depuis un terminal classique pour voir si cela fonctionne (à part les images sans doute). Et il ne manque plus que quelques liens publicitaires dans les résultats de recherche.

Tout bon geek qui se respecte devrait être intéressé, sinon amusé par le nouveau site goosh.org, mis en ligne par Stefan Grothkopp, un développeur allemand indépendant. Ce site permet en effet de taper des requêtes google en ligne de commande, comme on le ferait dans un terminal Unix ou dans une fenêtre MS-DOS, via un language de script.
Ainsi pour faire une recherche sur le mot télécharger, au lieu d’utiliser le moteur de recherche Google, on peut désormais se rendre sur goosh.org et taper télécharger à l’invitation. Comme pour toutes les autres requêtes, goosh présente les quatre premiers résultats renvoyés par google.

Aux « aficionados » de la ligne de commande

Vous vous demandez à quoi cet outil peut-il bien servir ? Pas à grand chose sinon qu’il offre aux aficionados de la ligne de commande, un moyen sympathique d’accéder à Google.
Il permet aussi d’accéder à l’ensemble des fonctions de Google à l’aide d’une seule fenêtre, moyennant la connaissance de quelques commandes. Si l’on tape « images roses », Goosh proposera les quatre premiers résultats renvoyés par Google Images. Si l’on tape « news Sarkozy », Goosh proposera les quatre premiers résultats renvoyés par Google Actualités sur Sarkozy et ainsi de suite. Pour avoir la liste des commandes, il suffira de taper « help » à l’invitation du prompt.
A noter que la commande « wiki » suivie d’un mot clé permettra d’accéder aux résultats de Wikipédia concernant ce mot clé. Signalons aussi la présence de la commande « addengine » qui permet d’ajouter Goosh dans la liste des moteurs de la barre de recherche de Firefox.

Le « shell Google » non officiel

N’étant pas un produit développé par Google lui même, Goosh se présente comme le « shell Google non officiel ».« Je n’ai fait qu’utiliser l’API que propose Google et je pense que je respecte leurs conditions d’utilisation mêmes si certaines sont un peu vagues. Je ne sais pas si Google est au courant mais cela ne devrait pas leur déplaire, indique Stefan Grothkopp, J’ai démarré ce projet au début pour des besoins personnels parce que j’aime utiliser les lignes de commande ». 01net.com

Gordon Moore: The Accidental Entrepreneur

Je viens de lire un article autobiographique de Gordon Moore publié sur le site officiel de la Nobel Prize Foundation, particulièrement intéressant quant aux enseignements de cette fabuleuse épopée à Fairchild et Intel :

J’ai relevé ces conseils hautement profitables pour toute start-up ambitieuse :

  • Constituer une équipe de personnes talentueuses capable d’innovations.
  • Penser “produit” dès le départ : qu’est-ce qui au final va bien pouvoir parvenir au consommateur ?
  • Mettre en place une organisation complète (R&D, fabrication, vente) dès que les premiers prototypes sont fonctionnels, en maintenant un lien fort entre les trois départements.
  • Anticiper les conséquences à moyen terme de l’emprise potentielle des investisseurs sur le core business et la vision de l’entreprise.
  • Lier les personnes clefs à l’entreprise pour ne pas risquer de les voir partir en emportant avec eux une part significative de la valeur ajoutée de l’entreprise.
  • Fonder son avantage concurrentiel sur des technologies suffisamment complexes pour laisser le temps à l’entreprise de grandir avant que les concurrents ne la copient ou ne la retrouve. A défaut de savoir à l’avance si le succès sera au rendez-vous, travailler sur un portefeuille de technologies, et les évaluer régulièrement pour déterminer lesquelles méritent une focalisation des ressources.
  • Mettre en place des réunions en face à face avec chacun des employés, durant lesquelles ce sont ces derniers qui déterminent l’ordre du jour et font avancer l’entretien.

Et ces passages que je préfère laisser verbatim.

From the beginning at Intel, we planned on being big. Since we had already been fairly successful at Fairchild, anything less successful in our new venture would have been a disappointment. So, at the very beginning we recruited a staff that had high potential and that we thought would be around to run the company for some time. This is an opportunity that many start-ups miss. There is no better chance to train managers than in a start-up, where they have the opportunity to see the entire company as it grows. It starts small and simple; one can see all the operations as they get bigger. I think that people looking at start-ups, venture capitalists in particular, ought to push very strongly not to squander the opportunity to develop management during that time period.

(…)

Another thing we had learned along the way was to raise money before we needed it. One thing you find out after a little bit of experience as an entrepreneur is that the bank will lend you money as long as you don’t need it. You can sell stock as long as you really don’t have to. With good advice from directors such as Arthur Rock, we have always had plenty of capital on hand, so that we haven’t been hindered in our ability to raise more.

Vous trouverez l’article au complet sur le site de la Nobel Prize Foundation, ainsi qu’une interview de Gordon Moore datant de quelques jours sur le toujours très excellent Spectrum.

Générateur de logos 2.0

Je vous avais présenté dans un post précédent le générateur de nom d’entreprises 2.0.
Thomas nous avait fait découvrir en commentaire le générateur de logo 2.0.

Voici un générateur de logo 2.0 duquel semble s’inspirer le précédent générateur, vu qu’il propose cette fois de nombreuses options pour personnaliser le design final. On regrettera juste l’absence d’export au format vectoriel…

Ca se passe par ici : http://creatr.cc/creatr/

SmugMug, un service pas du tout gratuit, mais une stratégie payante

Sorry, this entry is only available in French. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.

Comment trouver sa place dans le domaine de la photo en ligne face à un mastodonte comme Flickr, et quand on a un nom pour le moins tordu ? Voici un article intéressant de Techcrunch sur le cas de Smugmug, que je n’ai pas essayé (je n’ai toujours pas racheté d’appareil photo et ceux que j’ai sont un peu cheaps), mais qui pourra éclairer sur les alternatives aux business modèles “all for free” qui paraissaient jusqu’alors incontournables :

Michael Arrington – SmugMug dimensionne automatiquement vos photos et vidéos; arrivée de la Haute définition également – 7/12/2007

SmugMug a lancé une nouvelle série de fonctionnalités qui fait de ce service un acteur de premier rôle dans le domaine du partage de photos en ligne.

Il s’agit tout d’abord d’une amélioration de l’interface utilisateur, très attractive. SmugMug a réalisé que les utilisateurs changent souvent la taille des fenêtres du navigateur et passent de l’une à l’autre, ce qui implique dimensionner les photos de façon dynamique, cette fonctionnalité est appelée “SmugMungous”

Changez la taille de la fenêtre de votre navigateur et la photo sera automatiquement re-dimensionnée en taille tout en gardant la bonne résolution. Le reste de l’interface de la page s’adapte également et des vignettes viennent s’insérer de façon dynamique en fonction de la place disponible. Mais SmugMug n’est pas seulement un service de photos; les vidéos hébergées par le service utilisent dorénavant la même fonctionnalité en fonction de la taille des fenêtres ouvertes.

Quelques autres nouvelles fonctionnalités qui concernent les vidéos. De la vidéo haute définition encodée en H.264 avec une taille maximum de 1280X720 peut-être hébergée et lue sur le lecteur SmugMug via QuickTime et bientôt en Flash. Si vous placez une video HD, elle sera directement encodée dans divers formats (“web”,”iPod/DVD” et “HiDef”).

Les collections de vidéos que vous pouvez partager sont exportables vers iTunes comme des podcasts afin que vos amis et proches puissent les regarder sur ordinateurs ou sur des appareils Apple. Et puis enfin, une interface iPhone compatible vidéo pour naviguer et regarder des vidéos via QuicKTime sur votre portable.

SmugMug est une entreprise familiale qui va célébrer aujourd’hui ses 5 ans d’existence. Ils disent posséder 450 000 clients payants et engendrer $10 millions de revenus par an. Pas de comptes gratuits chez SmugMug, les utilisateurs doivent payer un minimum de $40 par an mais ont accès à un stockage et une bande passante illimitée. La société n’a pas levé de fonds extérieurs et vu le cours des choses, n’en aura sans doute pas besoin.

Note d’Ouriel:
voilà la preuve qu’il est toujours possible de créer de belles sociétés dans un secteur encombré et sans investisseurs. J’avoue être admiratif devant ce genre de sociétés. Flickr devrait bientôt intégrer la vidéo à son service mais je trouve smugsmug plus avancé dans le traitement du service.

Au passage, je ne saurais que trop vous conseiller l’excellent blog du CEO, Don MacAskill, et en particulier ce post. Je reviendrai d’ailleurs dessus très prochainement.

Pour une review assez complète de SmugMug, c’est par ici. Je dois dire que ça semble assez joli !

L’Eurex avait alerté la Société Générale dès le 19 octobre 2007

Voilà qui ne risque pas d’arranger la position de la Société Générale dans cette affaire, tandis que Jérôme a retrouvé du travail et va ainsi contribuer à abaisser les chiffres du chômage en France et dans l’OCDE.

 « L’établissement allemand [l’Eurex] s’est inquiété dès le mois d’avril 2007. Il réalise alors que les transactions se font toujours sur le même poste. Autrement dit, il subodore qu’un trader de la Générale agit seul.

Mais c’est l’opération du 19 octobre 2007 qui va le conduire à tirer la sonnette d’alarme. Ce jour-là, Kerviel négocie 6 000 futures – des contrats à terme – pour une valeur de 1 milliard d’euros. Cette fois, les Allemands savent qu’un seul opérateur ne peut engager de telles sommes pour le compte de sa maison. Ce qui justifie leur courrier du 7 novembre.

La lettre d’Eurex aboutit au service d’inspection de la Société générale, avec un double à Eric Cordelle, le patron direct de Kerviel. Le responsable de l’inspection interroge alors benoîtement Kerviel lui-même. Qui fournit des éléments d’information, pour la plupart évidemment faux.

La banque répond à Eurex le 20 novembre, justifiant le volume considérable des transactions par la progression du marché et les circonstances dans lesquelles ont été passés les ordres. Eurex détecte dans ce courrier de nombreuses erreurs, en particulier sur les horaires de travail du trader.

Le 26 novembre, les Allemands relancent les Français, faisant état de la fameuse transaction de 1 milliard. La Société générale ne réagit toujours pas…

La banque réplique aujourd’hui qu’Eurex est une société commerciale qui cherche à ne pas être impliquée. Elle s’étonne également que le financier allemand se soit contenté d’un simple courrier pour dénoncer les dérives constatées. A la suite des révélations de l’enquête, une douzaine de personnes vont quitter la banque, démissionnaires ou, la plupart, licenciées. » SauvezKerviel.com

Petit relifting

Travailler sur une CSS devient vite un calvaire pour un perfectionniste comme moi… margin-top par-ci, padding-bottom par-là, il manque toujours un pixel quelque part ! Quand ce n’est pas Firefox (ou IE) qui fait des siennes.

J’espère que les petites modifications rendront la lecture plus agréable.

Un petit jeu sympa

Je n’ai pas pu m’empêcher d’aller me chercher un verre de lait.

http://www.gettheglass.com/

Pour ceux qui sont intéressés par la conception d’un tel jeu, Adobe en a fait une étude de cas ici.

x.com et les noms de domaine à une lettre

En travaillant avec l’API Paypal, je suis tombé sur un nom de domaine plutôt étrange : http://integrationwizard.x.com/ecpaypal/main.php

Oui, vous ne rêvez pas, il s’agit de x.com. Très rassurant pour un site de paiement en ligne sécurisé.

J’ai donc fait mes petites recherches, et il s’avère que dans l’histoire du web, seuls 6 sites profitent d’un domaine constitué d’une seule lettre : i.net, q.com, q.net, x.com, x.org et z.com. Ces noms ont été déposés une première fois, avant la décision doctobre 1993. A cette date, Jon Postel éditait les standards dans le secteur (Internet Official Protocol Standards, RFC 1540) qui ont justement bloqué ces noms un peu hors du commun (voir la fiche sur le sujet sur l’encyclopédie libre, Wikipedia).

Dernièrement, c’est Google qui a déposé le nom de domaine g.cn, afin de mieux s’implanter en Chine. Voir cet article de Clubic.

Le pharming, un business prometteur ?

Je suis tombé sur cet article datant d’il y a plus d’un an. Apparemment, personne depuis semble avoir pris la menace au sérieux. C’est pourtant là une excellente opportunité de doper ses revenus d’affiliation en ajoutant automatiquement un trackingID à chaque URL transitant par le routeur. Et comme ce type d’appareil n’est pas équipé d’antivirus, une fois hacké, c’est pour longtemps ! Pour ceux qui veulent aller plus loin, ils peuvent bien sûr en profiter pour rediriger l’internaute sur des sites illégitimes (pas bien, mais ultralucratif et durable car très difficilement détectable par les anti-phishing), ou sur des sites parodiques.

Quelqu’un souhaite-t-il se joindre à moi pour mettre au point un vrai proof of concept (gentil) qui fasse bouger nos amis les fabricants de routeurs (qui continuent aussi trop souvent de proposer le cryptage WEP par défaut) ?

Brève Sécurité, Clubic – 20 février 2007

Connaissez-vous le « pharming », cette technique qui consiste à rediriger le trafic d’un site Internet honnête vers un autre site, frauduleux celui-ci, dans le but de vous inciter à y entrer vos informations personnelles ? Les pirates adeptes de cette méthode qui n’est pas sans rappeler le phishing (voir le Dossier sécurité : Spam et Phishing), ou hameçonnage en français, pourraient bientôt mettre en place de nouveaux dispositifs, bien plus insidieux, pour parvenir à leurs fins.

L’éditeur en sécurité Symantec et l’Indiana University School of Informatics ont en effet récemment lancé un avertissement relatif à une nouvelle tactique baptisée « drive-by pharming ». Celle-ci consiste à amener l’internaute à télécharger un code malicieux JavaScript qui se chargera de modifier les paramètres de son routeur domestique afin de l’entraîner à son insu vers des sites frauduleux. En manipulant les paramètres DNS (Domain Name Server) du routeur, un pirate pourrait en effet tout à fait faire qu’une adresse valide conduise l’internaute vers un site frauduleux sans que ce dernier ait l’impression d’avoir été abusé.

L’administration des Routeurs domestiques passe aujourd’hui le plus souvent par une interface Web, généralement accessible au moyen d’une adresse Web générique ou d’une adresse IP permanente, telle que 192.168.0.1. Pour parvenir à manipuler les paramètres du routeur, il est donc nécessaire de parvenir à accéder à cette administration. Or, il se trouve que la plupart des routeurs sont acessibles par défaut à l’aide d’un couple identifiant / mot de passe générique (exemple : login & password), que les utilisateurs oublient souvent de modifier. Pour prendre le contrôle d’un routeur, il suffit donc de placer sur la machine de l’internaute un programme capable de passer en revue les adresses d’administration les plus courantes, puis de tenter l’identification à l’aide d’une batterie de couples login / mot de passe courants.

Très simple à mettre en place, ce type d’attaque pourrait potentiellement toucher des millions d’utilisateurs de routeurs autour du monde. « Les attaques de type drive-by pharming sont si simples à lancer qu’il est vital que les consommateurs protègent de façon adéquate leurs routeurs et points d’accès sans fil dès aujourd’hui », indique Oliver Friedrichs, directeur de la division Security Response chez Symantec. Bien que l’efficacité de ce procédé ne soit pour le moment démontrée que par la mise au point de proof of concept, le drive-by pharming pourrait se révéler si lucratif qu’il parait inimaginable que des pirates n’en viennent pas à l’exploiter.

Dès lors, nous ne saurions trop vous conseiller, comme le fait Symantec, de vérifier les paramètres de votre routeur, et de modifier l’identifiant et le mot de passe qui vous permettent d’accéder à son interface d’administration, afin que ceux-ci ne puissent être devinés trop simplement…

Guide des extensions indispensables pour Firefox

Benoit Mortgat publie ce jour un excellent guide pour ceux qui souhaitent équiper décemment leur navigateur web Firefox. J’avoue pour ma part être de plus en plus tenté de franchir le pas, au vu des lacunes d’Internet Explorer 7 en la matière. Jusqu’à présent, je n’utilisais Firefox que pour vérifier l’affichage convenable des pages de mes sites sur ce navigateur. Ardent défenseur de Microsoft, j’ai apprécié leurs progrès considérables d’IE6 à IE7, mais je remarque qu’ils souffrent d’un cruel manque de support de la part de la communauté, ce qui diminue le surplus global lors de l’utilisation de ce logiciel. Pour ne pas citer d’exemple, le débuggage de scripts ou de CSS est tout une aventure avec IE7, là où les extensions conseillées par Benoit dans son élégant guide en LaTeX vous donnent l’impression de vivre une nouvelle vie.

Je ne saurais que trop donc vous conseiller de vous en inspirer pour enrichir votre expérience utilisateur sur la toile.

Google étoffe son offre de web apps avec Google Sites

Google Sites : voilà une initiative bien intéressante. L’on vient à se poser des questions sur la place de CMS comme Joomla ou Magento face à des applications web aussi intégrées, complètes, dynamiques et surtout collaboratives… L’articulation entre ces deux types de produits reste à déterminer. Il y a peut-être de quoi créer une start-up à quelques millions de dollars (rachetée par Google ?).

Gmail évolue !

Nos amis russes ont trouvé la parade lorsqu’ils n’ont pas d’ordinateur sous la main. Par contre ils n’expliquent pas comment connecter leur écran à Internet. L’équipe locale de Google a décidé de réaliser une version grandeur nature de Gmail, à base de peinture, de morceaux de papier, et de beaucoup de patience.

« Previous pageNext page »