PROJET AUTOBLOG


Le blog de Seboss666

Site original : Le blog de Seboss666

⇐ retour index

Writeup #LeHACK 2019, StegCryptoDIY #1

mardi 9 juillet 2019 à 13:41

Autre challenge du wargame de LeHACK, dont j’avais perdu certains éléments mais que j’ai refait ce matin (j’avais gardé le matériau de base), un « simple » exercice de stéganographie, comme son nom l’indique. En deux parties, mais je n’ai validé que la première.

Voici donc l’image qui servait de base à ce challenge en deux parties :

Les couleurs auraient pu indiquer quelque chose au niveau des pixels, mais rien à noter quand on joue avec les outils de GIMP. Pareil dans les métadonnées, cependant, en repassant sur un basique strings, on découvre un truc :

$ strings leHACK19_chall.png
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

Et dans l’intitulé, on nous dit que Dumb et Dumby cherchent à communiquer de manière sécurisée. Ben voilà, on a un début de piste. Je stocke cette chaîne dans un fichier test.txt, et j’ai joué la carte de l’évidence, et tenté le base64 :

$ base64 -d test.txt > result.txt
$ cat result.txt
v�N = 11755068944142969498743245984761181325605304625286958721391766091283132398437645038349775898923465331260308064611167926187399384723360941883732174901666803 ,g1 = 3808819505564999545252623631192503212186598088555343738111165382623421720119837544658173822461834076347795159366593177669058705087266898444818926668584519, g2 = 8721787400327783748014849037626039397807612372804016643653047575976009827003447778861262036752326827613078346225192581708240820325867658742078694445677877 I use this functons for enciphering our skey : encipher(int.from_bytes(skey,'big'),g1,g2,N) with def encipher(m,g1,g2,N): s1=random.randrange(2**127,2**128) s2=random.randrange(2**127,2**128) return (m*pow(g1,s1,N))%N, (m*pow(g2,s2,N))%N and here is a flag: lehack2019{aef9556a575cc9de8fc9609bd034d63fe0a01470eb401378253f723bbc5cc16c}

Bon, lors de la validation du flag, il y a eu un léger couac, car en fait ils avaient paramétré les résultats pour que le plus évident, celui qu’on voit au bout de la ligne, soit la deuxième étape. Je suis allé voir les orgas, au début on m’a dit que non, surtout qu’on peut pas valider le deuxième tant qu’on a pas validé le premier, et pendant mon argumentation plusieurs compétiteurs sont venus se plaindre du même challenge. Ca a pris une seconde à faire la correction, et j’ai pu valider le challenge 🙂

Je n’ai par contre pas réussi à comprendre le fonctionnement pour la deuxième étape, c’est un algorithme mais comme je suis pas bon, et qu’il semble y avoir une composante random, je suis un peu perdu. Mais comme il semble que j’ai tous les éléments en ma possession, je pense me remettre dessus à froid pour voir si j’ai pas moyen de moyenner un truc.

Writeup #LeHACK 2019, 103spx

dimanche 7 juillet 2019 à 19:25

Autre challenge réussi à la sueur de mon front, ce challenge était beaucoup plus intéressant et m’a donné un peu de fil à retordre. Voyons donc comment je m’en suis sorti.

Le fichier à récupérer s’appelle « USB_a_analyser », sans extension, il fait 247Mo. File nous donne une première indication de ce à quoi on a affaire :

$ file USB_a_analyser 
USB_a_analyser: DOS/MBR boot sector, code offset 0x52+2, OEM-ID "NTFS    ", sectors/cluster 8, Media descriptor 0xf8, sectors/track 62, heads 8, dos < 4.0 BootSector (0x80), FAT (1Y bit by descriptor); NTFS, sectors/track 62, sectors 507903, $MFT start cluster 4, $MFTMirror start cluster 31743, bytes/RecordSegment 2^(-1*246), clusters/index block 1, serial number 06d84ef355f47cf91

On a vraisemblablement affaire à une image d’un disque, mais les choses se compliquent quand on tente de faire l’inventaire détaillé des partitions :

$ sudo fdisk -l ./USB_a_analyser 
Disque ./USB_a_analyser : 248 MiB, 260046848 octets, 507904 secteurs
Unités : secteur de 1 × 512 = 512 octets
Taille de secteur (logique / physique) : 512 octets / 512 octets
taille d'E/S (minimale / optimale) : 512 octets / 512 octets
Type d'étiquette de disque : dos
Identifiant de disque : 0x00000000

J’attaque un basique « strings », et je vois un message intéressant :

Si un jour je relis ce message, le mot de passe utilis
 pour chiffrer mon plus grand secret 
tait "vgrohhfyek0wkfi5fv13anexapy3sso6" et j'av
s utilis
 openssl.
En revanche, j'ai effac
 par erreur le fichier contenant mon plus grand secret (voir s'il existe des techniques de la mort pour le retrouver mon fichier secret.xz sha256(0fb08681c2f8db4d3c127c4c721018416cc9f9b369d5f5f9cf420b89ee5dfe4e) de 136 octets) et de toute fa
on, impossible de me rappeler de l'algo utilis
 -_- (donc si je le retrouve... il faudra aussi retrouver l'algo pour utiliser ce mot de passe).

Beaucoup d’informations ici, on sait donc qu’il faut récupérer un fichier qui a été chiffré avec openssl avec le mot de passe mentionné. Certes on a pas le nom du fichier, ni l’algorithme utilisé, mais on s’en préoccupera plus tard. Dans ma trousse à outils il y a donc binwalk et foremost, qui se font un plaisir d’analyser le contenu d’un fichier pour en extraire d’autres. J’ai déjà pu extraire des photos cachées dans d’autres photos. Ils me trouvent des pages web avec photos de mobylettes (le nom du challenge n’est pas là par hasard), mais rien qui ressemble à un fichier chiffré avec openssl. Rien d’autre dans les strings, ce qui implique que le fichier n’est pas stocké en clair.

Il paraît qu’elle a fait rêver pas mal de jeunes 🙂

Le fichier semble contenir une ou plusieurs partitions, j’entreprends alors de chercher comment faire pour les monter directement depuis le fichier dans un dossier temporaire. Comme je l’ai dit la difficulté c’est que fdisk ne me donne pas de détails sur les offsets à indiquer pour le montage, et toutes mes recherches pointent sur le fait qu’il faut cette information. C’est alors que Djerfy me glisse une suggestion : « t’as essayé volatility ? »

A là base c’est une suite d’outils en python pour extraire quantité d’informations sur des systèmes majoritairement Windows, ce qui n’est pas si con puisque le fichier contient des partitions NTFS et FAT32. Je ne connaissais pas, je m’empresse d’installer, lis un peu la doc et l’aide embarquée, et j’en viens à ça :

$ volatility -f ./USB_a_analyser mftparser --output=body -D ./vol_extract --output-file=extract.body
$cat extract.body
(...)
0|[MFT STD_INFO] message.txt (Offset: 0x14000)|64|---a-----------|0|0|0|1562415259|1562415034|1562415159|1562415159
0|[MFT FILE_NAME] Peugeot103SPXFILI.jpg (Offset: 0x14400)|65|---a-----------|0|0|0|1562415159|1562415159|1562415159|1562415159
0|[MFT STD_INFO] Peugeot103SPXFILI.jpg (Offset: 0x14400)|65|---a-----------|0|0|0|1562415159|1562370380|1562415159|1562415159
0|[MFT FILE_NAME] .Trash-1000\files\secret.xz (Offset: 0x14800)|66|---a-----------|0|0|136|1562415159|1562414956|1562415159|1562415159
0|[MFT STD_INFO] .Trash-1000\files\secret.xz (Offset: 0x14800)|66|---a-----------|0|0|136|1562415159|1562414956|1562415256|1562415159
0|[MFT FILE_NAME] Peugeot 103 SPX : tous les modèles de 1987 à 2003 | Actualités de la mobylette par Mobylette Mag_files (Offset: 0x14c00)|67|---a---------D-|0|0|0|1562415169|1562415169|1562415169|1562415169
0|[MFT STD_INFO] Peugeot 103 SPX : tous les modèles de 1987 à 2003 | Actualités de la mobylette par Mobylette Mag_files (Offset: 0x14c00)|67|---a-----------|0|0|0|1562415222|1562415170|1562415170|1562415169
(...)

Mais c’est gentil de lui donner un tel nom ! On a donc un fichier secret.xz, supprimé comme l’indiquait l’indice original car dans un dossier « .Trash-1000 », il a été mis dans la corbeille (l’auteur aurait donc pu le récupérer, mais ça serait moins drôle pour nous). Par contre, alors que je passe l’option -D je n’arrive pas à récupérer le moindre fichier, rien dans le dossier « vol_extract » créé pour ce besoin. Rageant…

J’en vient à tenter le tout pour le tout : je monte directement le fichier dans un dossier avec le type ntfs. Ma surprise fut totale quand j’ai vu la commande se terminer sans erreur :

$ l tmp/.Trash-1000/files/
total 201K
drwxrwxrwx 1 root root 4,0K 06.07.2019 14:14  ./
drwxrwxrwx 1 root root    0 06.07.2019 14:14  ../
drwxrwxrwx 1 root root 4,0K 06.07.2019 14:13 "CERT-FR – Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques_files"/
drwxrwxrwx 1 root root 4,0K 06.07.2019 14:12 'Peugeot 103 — Wikipédia_files'/
-rwxrwxrwx 1 root root  33K 06.07.2019 14:13 "CERT-FR – Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques.html"*
-rwxrwxrwx 1 root root 151K 06.07.2019 14:12 'Peugeot 103 — Wikipédia.html'*
-rwxrwxrwx 1 root root  136 06.07.2019 14:09  secret.xz*

Eh oui, notre secret.xz est bien là. Je le copie donc sur mon disque, et l’extrait. Le fichier a bien été chiffré avec openssl :

$ file secret
secret: openssl enc'd data with salted password

Nous voilà donc à la phase finale : identifier l’algo utilisé pour chiffrer le secret. Le souci, c’est que ça va être trop compliqué d’aborder ça de manière artisanale :

$ openssl help
Standard commands
asn1parse         ca                ciphers           cms               
crl               crl2pkcs7         dgst              dhparam           
dsa               dsaparam          ec                ecparam           
enc               engine            errstr            gendsa            
genpkey           genrsa            help              list              
nseq              ocsp              passwd            pkcs12            
pkcs7             pkcs8             pkey              pkeyparam         
pkeyutl           prime             rand              rehash            
req               rsa               rsautl            s_client          
s_server          s_time            sess_id           smime             
speed             spkac             srp               storeutl          
ts                verify            version           x509              

Message Digest commands (see the `dgst' command for more details)
blake2b512        blake2s256        gost              md4               
md5               mdc2              rmd160            sha1              
sha224            sha256            sha3-224          sha3-256          
sha3-384          sha3-512          sha384            sha512            
sha512-224        sha512-256        shake128          shake256          
sm3               

Cipher commands (see the `enc' command for more details)
aes-128-cbc       aes-128-ecb       aes-192-cbc       aes-192-ecb       
aes-256-cbc       aes-256-ecb       aria-128-cbc      aria-128-cfb      
aria-128-cfb1     aria-128-cfb8     aria-128-ctr      aria-128-ecb      
aria-128-ofb      aria-192-cbc      aria-192-cfb      aria-192-cfb1     
aria-192-cfb8     aria-192-ctr      aria-192-ecb      aria-192-ofb      
aria-256-cbc      aria-256-cfb      aria-256-cfb1     aria-256-cfb8     
aria-256-ctr      aria-256-ecb      aria-256-ofb      base64            
bf                bf-cbc            bf-cfb            bf-ecb            
bf-ofb            camellia-128-cbc  camellia-128-ecb  camellia-192-cbc  
camellia-192-ecb  camellia-256-cbc  camellia-256-ecb  cast              
cast-cbc          cast5-cbc         cast5-cfb         cast5-ecb         
cast5-ofb         des               des-cbc           des-cfb           
des-ecb           des-ede           des-ede-cbc       des-ede-cfb       
des-ede-ofb       des-ede3          des-ede3-cbc      des-ede3-cfb      
des-ede3-ofb      des-ofb           des3              desx              
idea              idea-cbc          idea-cfb          idea-ecb          
idea-ofb          rc2               rc2-40-cbc        rc2-64-cbc        
rc2-cbc           rc2-cfb           rc2-ecb           rc2-ofb           
rc4               rc4-40            seed              seed-cbc          
seed-cfb          seed-ecb          seed-ofb          sm4-cbc           
sm4-cfb           sm4-ctr           sm4-ecb           sm4-ofb

On le voit dans la partie « Cipher commands », y’a du monde, je ne me vois pas tout faire à la main un par un. Et rien dans le contenu du fichier ne permet de guider un type d’algo plutôt qu’un autre.

J’ai donc extrait la liste de ces cipher commands, organisées dans un fichier, et j’ai là aussi tapé un script à l’arrache pour faire le boulot :

cat script.sh 
#!/bin/bash +x
for i in $(cat cipherlist.txt); do openssl $i -in secret -out "secret.${i}" -d -k vgrohhfyek0wkfi5fv13anexapy3sso6 ; done

J’ai en résultat, un fichier par cipher. Alors y’a beaucoup de fichiers, et malgré une taille identique pour beaucoup d’entre eux, la somme de contrôle me dit qu’ils sont tous différents. Je me rabats donc sur un classique mais toujours efficace grep afin de pouvoir identifier mon vainqueur :

$ grep lh_ secret.*
secret.aes-192-ecb:flag : lh_6c31ba64e522b5f9326b7bee0abef6547f60d214

Et voilà 🙂

Writeup #LeHACK 2019, WorldGolfChampion

dimanche 7 juillet 2019 à 08:06

En cette année 2019 le niveau des challenges était bien plus équilibré que l’année dernière qui était particulièrement ardue de l’aveu même des organisateurs. On a terminé cinquantième sur un peu plus de trois cents avec un score supérieur à zéro, et j’ai quelques faits d’arme à mon actif 🙂 Je ne vais pas tout écrire, à la limite je partagerai ceux des confrères (et je sauvegarderai aussi), on commence donc par un petit exercice au pays de Wireshark et de Keepass.

l’exercice repose donc sur un fichier pcap. L’analyse de celui-ci montre la présence d’une session telnet. On filtre donc dessus et on admire :

Ouais le thème de Wireshark en sombre c’est pas encore ça

Oui, connexion serveur avec login, mot de passe, pas pour rien qu’ont dit qu’il faut préférer SSH. En regardant les commandes il tente d’ouvrir un coffre fort Keepass, sans grand succès, manifestement il ne se souvient pas de son mot de passe, c’est dommage parce qu’à cause de telnet on voit pas mal de choses en clair. Pire, pour une raison que j’ignore, il nous affiche un base64 du fichier, c’est magique, on peut le récupérer :

$ echo "A9mimmf7S7UBAAMAAhAAMcHy5r9xQ1C........." |base64 -d > keepass.kdbx
$ file keepass.kdbx
keepass.kdbx: Keepass password database 2.x KDBX

Il reste alors à l’attaquer, sans surprise les mots de passes présents dans la capture ne fonctionnent pas. Il y a donc eu un petit moment de flottement à bases de recherche de techniques de bruteforce, via keepass2john, mais je n’ai pas réussi à le faire fonctionner. C’est alors qu’un voisin de circonstance, Gabin a eu l’idée déterminante : il s’avère que tous les mots de passe testés ont le même format (ouais la fatigue faisait déjà son office à ce moment-là), à savoir « woods » suivi de quatre chiffres. Il n’en fallait pas plus pour écrire un petit script de bruteforce à base de kpcli pour tester les 10000 combinaisons possibles, et bingo :

$ cat script.sh
#!/bin/bash

source /etc/profile

for i in $(seq -w 9999); do echo -ne "${i}\n"; echo "woods$i" | kpcli --kdb=keepass.kdbx && exit 0 ; done

$ ./script.sh
(...)
0179
Please provide the master password: *************************
Couldn't load the file keepass.kdbx: The database key appears invalid or else the database is corrupt.
0180
Please provide the master password: *************************
WARNING: There is an entry with a blank title in /Root/!

KeePass CLI (kpcli) v3.2 is ready for operation.
Type 'help' for a description of available commands.
Type 'help <command>' for details on individual commands.

kpcli:/>

Il y a trois mots de passe dans le coffre-fort, le premier sans nom (le « blank title ») est le bon 🙂

kpcli:/> ls
=== Groups ===
Root/
kpcli:/> cd Root/
kpcli:/Root> ls
=== Entries ===
0.
1. My Best Friend
2. My best plan boards.4channel.org/sp
kpcli:/Root> show -f 0

Title:
Uname:
Pass: lh_{I1oVeG0lfAndSex..W4IT.MyWiFe}
URL:
Notes:

Encore merci Gabin pour le temps gagné 🙂

Quelques liens en vrac et en français, 37° édition

mercredi 3 juillet 2019 à 18:30

Décidément, en ce moment, les articles intéressants se multiplient, plus vite que je ne tente d’écrire les miens. Je prends donc quelques minutes pour (re)partager avec vous ces articles pas toujours techniques qu’il faut je pense avoir lu, pour se maintenir à jour, découvrir, réfléchir autrement.

IA Google bat des champions humains à Quake 3

C’est une évidence, s’il est possible d’apprendre à jouer à une intelligence artificielle, elle ne peut que nous battre une fois qu’elle s’est suffisamment entraînée. On le voit depuis vingt ans, avec d’abord Deep Blue aux échecs, puis Watson au Jeopardy, et plus récemment AlphaGo avec le Go (on constate que le rythme s’accélère). Les ingénieurs de Google se sont ensuite penchés sur un titre mythique et exigent, et sans surprise, nos réflexes forcément limités ne font pas le poids face aux transistors de silicium.

Débuter avec Git

Je vais être amené à utiliser beaucoup plus git qu’actuellement au boulot, et je pense que tout sysadmin devrait en avoir une bonne connaissance, qu’il le manipule pour lui ou pour ses clients (livraisons automatisées ou manuelles, par exemple). Qui de mieux qu’un développeur chevronné, j’ai nommé Carl Chenet (à quand la prochaine bouffe ?), pour vous faire un cours didactique sur cet outil magnifique, dont le cinquième épisode vient de sortir ?

J’ai fouillé dans les données que Google conserve sur moi depuis treize ans

Vincent Matalon est rédacteur pour FranceTVInfo. Il ne semble pas spécialisé dans un domaine particulier, mais récemment, il a fait une expérience avec le géant américain, en tant qu’utilisateur gratuit de ses services, et ce qu’il a découvert l’a vraiment fait flipper, et devrait en toute logique aussi vous mettre en garde contre la puissance qu’on lui a accordé au fil du temps, jusque dans les détails les plus intimes de nos vies trop connectées.

Pourquoi le béton romain antique dure des millénaires, tandis que le nôtre s’effondre en quelques décennies

Au fil de l’histoire, des savoirs se perdent, entre autres au gré des chutes de régime, des invasions, et la chute de l’empire romain n’échappe pas à cette règle. Avec une recrudescence des plaintes sur les malfaçons des constructions neuves, il est intéressant de voir comment nos ancêtres avaient pourtant trouvé certaines solutions.

Chômage, mirages, naufrages

Une des raisons qui font que je ne me reconnais plus dans le paysage politique actuel, est cette persistance, aussi bien « à droite qu’à gauche », à vouloir casser ce qui est déjà quelque chose de terrible pour les trois millions de personnes selon les chiffres officiels, qui subissent déjà une situation de chômage, à savoir sans emploi et sous perfusion de l’État après avoir cotisé pour ça. Situation que j’ai vécu moi-même, jusqu’à sortir du système sans pour autant avoir un job en poche. Et autant dire que ce condensé de situation par Datagueule devrait être injecté de force dans le cerveau des personnes qui passent leur temps à vouloir casser ce système qui selon eux créeraient des feignants profiteurs, mieux, on devrait les mettre eux même dans cette situation pour en comprendre la misère qu’ils ne veulent pas nommer.

Jeu libre : Minetest

C’est toujours amusant de lire quelqu’un qui redécouvre un jeu qu’elle vous avait déjà fait découvrir à l’époque lors d’une Ubuntu Party. Norore vous (re)fait donc découvrir la richesse d’un « clone » de Minecraft, sans le Java et sans la licence Microsoft. Avec une quantité de plugins qui vous permettront de transformer ce bac à sable en réel plaisir.

Les artisans d’Internet

Contrairement à ce qu’on pense, il ne reste pas que des gros industriels et géants américains et chinois sur Internet. Tout comme en France, il existe un paysage international d’artisans de l’Internet, qui font les choses à taille humaine, en remettant aussi parfois un vrai prix sur ce que vous utilisez gratuitement chez les géants avec un coût caché beaucoup trop élevé pour qu’on continue encore longtemps.

Comment survivre à ses utilisateurs ?

Zythom vient de changer de métier, pour passer responsable de la sécurité des systèmes d’information. Il nous raconte le problème de devoir gérer des humains au quotidien, humains qui ne veulent pas faire l’effort de retenir des conseils de bases, sous le faux prétexte de confort. Il passe par un petit inventaire non exhaustif des cas à traiter, sans forcément avoir toutes les réponses. Les interrogations sont déjà très intéressantes, à la fois pour les autres RSSI, mais aussi les utilisateurs eux-même.

Le fédiverse, c’est le bordel

Lors de l’apparition des réseaux sociaux alternatifs, et même avant l’apparition du sacro-saint ActivityPub, en regardant de plus près ça ne m’attirait pas plus que ça, pas tant dans l’usage que dans la technique en dessous et de certaines contraintes qui les accompagnent. Malheureusement, le temps et ces nouvelles capacités de fédération n’arrangent toujours pas les choses, à croire que le libre n’apprendra jamais de ses erreurs. Comportement volontaire ou pas, là est la question…

Grands fournisseurs du numérique : à quand un modèle d’affaires et des pratiques équilibrés ?

Le Cigref est une associations d’entreprises créés par des responsables informatiques de certains de ces membres, qui vient de nous gratifier d’une nouvelle sortie à propos des problèmes qui se posent entre les services de l’État et les gros acteurs notamment américain du numérique. Et pas compliqué de les comprendre, quand on voit la Défense et l’Education Nationale se prostituer chez Microsoft, la quantité de lobbyistes qui passent leur temps dans les couloirs de l’Assemblée Nationale ou du Sénat, et des choix toujours plus mauvais que font nos dirigeants en matière de stratégie numérique pas seulement pour la France, mais aussi pour nos voisins à l’échelle européenne.


Sur ce je suis rentré en France, je suis en vacances (ouais paradoxal hein), je vais pouvoir me concentrer pour vous faire quelques petits articles aux oignons. Image particulièrement adaptée quand on voit le ravissement culinaire que j’ai vécu pendant ces deux semaines à Maurice 🙂

Quelques liens en vrac et en français, 36° édition

samedi 22 juin 2019 à 10:30

Je suis actuellement à l’île Maurice, pour le boulot certes, mais du coup vous comprendrez que les multiples idées que j’ai en tête pour les articles sont remisées à plus tard, profitant du peu de temps libre que j’ai pour me convaincre, si c’était encore nécessaire, de revenir y passer mes prochaines grosses vacances. J’ai tout de même une nouvelle « revue de presse » à vous partager en attendant mon retour en France.

Monter une vidéo avec KDEnlive 19.04

La nouvelle version du logiciel de montage destiné à l’environnement KDE est sorti dans une nouvelle version fortement remaniée, et ça pourrait être une raison supplémentaire pour retourner sur le bureau que j’avais adopté pour mes premiers pas sur Manjaro. Pour l’occasion, Olivier Hoarau a remis au goût du jour son tuto dédié au logiciel, je vous conseille le reste du site ça fourmille de guides, à lire en ligne ou télécharger en PDF.

Serverless

L’ami Flemzord semble s’amuser comme un fou dans ses actuelles responsabilités. Il prend même le temps de vous montrer, au delà du marketing, l’intérêt du Serverless et comment vous pouvez vraiment gagner de l’argent, car le calcul n’est pas toujours très évident à faire.

Smart Everything

À voir l’évolution de nos appareils électroménagers, il semble que toutes les raisons soient bonnes, même les pires, pour nous pondre une version connectée : frigo, machine à laver… Le monde professionnel n’échappe malheureusement pas à cet enfer sécuritaire et cette planche humoristique redonne le bon conseil à suivre concernant ces éléments si on veut en préserver la sécurité.

Dans la tête d’un hacker chinois

Voici un retour d’expérience très intéressant sur un incident de sécurité où le parcours de l’attaquant a été retracé au maximum, de son entrée frauduleuse sur un Jenkins pas tenu à jour, aux actions qu’il a pu effectuer par la suite. Note : j’ai mis le lien vers archive.org, car le post original a mystérieusement disparu (possible que les « victimes » n’aient pas apprécié qu’on sache qu’elles faisaient de la merde avec leur infrastructure).

Déploiement d’une stack ELK en mode Swarm

Déployer des stacks sur docker Swarm, c’est facile, moi-même je le fais régulièrement chez moi. Déployer une stack qui va mettre salement en tension les nœuds qui vont la porter, ça demande du boulot, et pas mal de détails de l’implémentation retenue pour ce déploiement d’ELK musclé sont très intéressants à lire.

Lancer correctement Python et ses commandes cousines

Sam et Max l’avaient annoncé, leur rythme de publication allait baisser drastiquement. Et c’est le cas. Malgré tout nous avons droit à une nouvelle sortie pour tenter de nous convertir aux bonnes pratiques de l’exécution de python, aussi bien en ligne de commande qu’en script.

Concevoir des technologies de manière respectueuse et honnête, c’est possible

Ce nouveau billet de la fondation Mozilla pour le développement de technologies ouvertes et respectueuses des utilisateurs, est sorti de manière indépendante mais finalement proche des dernières annonces de Google autour de Chrome et de leur volonté d’empêcher le fonctionnement des bloqueurs de contenus, publicité en tête, qui sont devenus, à l’instar des antivirus sous Windows, un outil à avoir de base dans son navigateur.

Optimiser un Docker build via Travis CI

Parfois, il faut insister pour que les personnes qui savent beaucoup de choses les partagent avec d’autres. Et cet article d’optimisation, j’ai insisté pour que Djerfy nous le partage, surtout que potentiellement, cette astuce fonctionne au-delà de Travis qui n’est qu’un service d’intégration continue parmi d’autres.

Qwant et la publicité

On reproche beaucoup à des sociétés du numérique de jouer dans le « green washing », à savoir se faire passer pour écologiques, alors que la fabrication de leurs produits ou la consommation de leurs datacenters est toujours un problème pour la planète, voire la santé de certains travailleurs (notamment des enfants).

Ici, c’est un peu pareil, Qwant est certes beaucoup mieux qu’un Google quant à la collecte de données personnelles, mais le discours du « zero tracking » ne fait pas long feu quand on voit les dépendances à Microsoft notamment sur la publicité, qui est un des plus gros problèmes du web actuel.

Le code verrouillant un portable n’est pas « une convention secrète de déchiffrement »

Les aspects juridiques dans le numérique sont très intéressants car ce monde avançant très vite, les décisions judiciaires sont critiques pour les évolutions de celui-ci. Pour ceux qui l’ignorent, refuser de donner aux forces de l’ordre un code permettant de déchiffrer des données est passible d’amende. Et bien dans une décision récente, un juge a considéré que le code de verrouillage d’un smartphone ne correspondait pas à ce critère, et nous ne sommes donc pas obligé de fournir ça aux policiers un peu trop zélés qui outrepasseraient leurs droits.

Bloqueur de contenu « natif » dans Android 9.0 « Pie »

Contre toute attente et malgré les soucis de Huawei avec ce boulet de Trump, je vais avoir droit à la version 9 d’Android. Et j’apprend via cet article qu’il existe un moyen de procéder à un blocage de contenu natif, en fait qu’on peut enfin, sans être administrateur, utiliser un résolveur DNS de son choix, du moins en Wi-Fi. De quoi exploiter certains services bloquant par ce biais des publicités, sans recourir à des applications comme Blokada.


Voilà sur ce c’est le premier weekend de mon séjour, je vais tenter de braver un temps moyen pour découvrir des choses, et même peut-être profiter de la mer 🙂