BBKeys : Quand Bouygues ne sécurise pas ses box

Par Paul le Vendredi 7 mai 2010 | 6 commentaires »

Hier sur twitter je suis tombé sur un relevé de combinaisons clefs / ESSID pour les Bbox de Bouygues Telecom. Un peu intrigué de savoir comment quelqu’un avait réussi à pondre une liste de plus de 13.000 de ces combinaisons j’ai un peu fouiné et je suis tombé sur un outil assez formidable : BBKeys.

L’idée est simple : pour générer le couple ESSID / clef WPA par défaut, Bouygues (enfin plutôt Thompson qui fabrique le modem) se base sur un algorithme qui lui même se base sur le numéro de série de la Box.

Là où ça se gâte (pour Bouygues) et ça commence à devenir intéressant (pour nous) c’est qu’à partir de l’ESSID il est possible de retrouver une portion du numéro de série de la box qui suffit à générer la clef WPA par défaut…

En un mot : à partir du SSID visible par tous, il est possible de retrouver la clef WPA par défaut… En assumant que les gens sont c*ns (et ils le sont souvent), on a des chances qu’ils ne l’aient pas changé et par conséquent on gagne un accès au net gratos sur l’IP de ses voisins (coucou Hadopi, c’est pas moi c’est madame Michu…) !

Assez enthousiasmé par tout cela, et malgré le fait que personne ne soit abonné Bbox par chez moi, j’entreprends de télécharger l’outil pour regarder un peu mieux comment ça fonctionne… Et là surprise : on me demande un code Allopass…

Lire la suite de : BBKeys : Quand Bouygues ne sécurise pas ses box

6 commentaires »

Le point sur Hadopi

Par Paul le Mardi 4 mai 2010 | 4 commentaires »

Les choses se mettent en place peu à peu autour de l’Hadopi et j’ai jugé le moment opportun pour faire un petit retour sur où en est la machine de guerre que l’on sait tous vouée à l’échec mais que le gouvernement s’entête à nous mettre en place au plus vite, au risque de brûler les étapes et d’aller, encore un peu plus vite, dans le mur…

Le logo

Comment parler de l’Hadopi sans évoquer le logo et les diverses péripéties que celui-ci a entrainé ? Le premier logo a été créé il y a quelques mois et les pro-Hadopi étaient alors très fiers de nous présenter le fruit d’un travail acharné chiffré, selon les sources, entre 15.000 et 30.000€, ce qui est relativement beaucoup pour un logo mais reste raisonnable comparé au scandale du logo du pôle emploi par exemple (payé 500.000€).

Là où cela se corse c’est que le logo en question utilisait une police dont l’usage est strictement réservé à France Télécom et rendait, par conséquent, son utilisation impossible sous peine d’être poursuivi pour piratage (ironie quand tu nous tiens !).

L'ancien logo Hadopi

L'ancien logo Hadopi

Il a donc fallu bricoler un nouveau logo et repartir sur de bonnes bases. C’est chose faite depuis hier et le nouveau logo est on ne peut plus simple. A ma connaissance, aucune information n’a filtré quand au prix de l’objet. Espérons juste que nos impôts ne servent pas à payer une nouvelle version du logo là où la logique devrait dicter que l’agence qui a pondu le premier logo livre une version propre gratuitement en réparation de la faute commise pour le premier…

Le nouveau logo Hadopi

Le nouveau logo Hadopi

Ce changement de logo, s’il intervient pour repartir sur de bonnes bases est néanmoins dommageable : le nouveau logo n’ayant aucun rapport avec l’ancien, c’est une totale perte d’identité qui s’opère et si madame Michu était tombée sur la première version de celui-ci elle risque d’avoir du mal à reconnaitre le nouveau lorsqu’il sera imprimé sur un courrier la sommant d’arrêter de tuer les artistes en téléchargeant du Claude François (qui va avoir du mal à remourir mais passons).

Lire la suite de : Le point sur Hadopi

4 commentaires »

[Facebook] Voir le contenu d’une fanpage sans avoir à devenir fan

Par Paul le Jeudi 29 avril 2010 | 6 commentaires »

Je sais pas vous (enfin si j’ai quand même une vague idée) mais moi je suis fatigué de voir ce type de pages pulluler sur le réseau social des jeunes. Je veux bien sûr parler des fanpage dont il faut devenir membre pour voir le contenu. Souvent le contenu en question n’est pas des plus intéressant mais le titre est suffisamment aguicheur pour qu’un nombre colossal de pigeons se laissent avoir et oublient de quitter les groupes une fois le « précieux » contenu découvert. Ces listes de pigeons servent ensuite à envoyer de la pub soit via le mur soit directement par messages.

Je me suis un peu penché sur le problème et y ai trouvé une solution très simple et diablement efficace : une seule ligne de javascript (pondue par mes soins un jour de repos !) qui permet d’afficher le contenu caché sans avoir à rejoindre quoi que ce soit.

La ligne en question la voici :

javascript:spans=document.getElementById("tab_canvas").getElementsByTagName("span"); for(var sp in spans){spans[sp].style.visibility="visible"}

Pour que cela fonctionne il faut que vous soyez sur l’onglet de la page qui contient le contenu caché. Souvent il s’agit du premier onglet à être ouvert quand vous cliquez sur un lien. Ensuite vous avez deux solutions : la copier/coller dans la barre d’adresse à la place de l’url et valider avec la touche entrée comme si vous veniez d’entrer une réelle url. Ou, plus simple, ajouter un favoris dans votre navigateur dont l’adresse serait cette fameuse ligne. En plaçant le favoris dans la barre personnelle de Firefox par exemple vous n’aurez plus qu’à cliquer sur le bouton pour que le contenu de la page se mette à jour en direct.

Comment et pourquoi cela fonctionne

Le principe de ces pages est très simple : le créateur ajoute un onglet à sa page pour y faire figurer son contenu et décide de n’afficher le contenu qu’aux membres en le cachant aux autres dans un bête <span> caché par la propriété CSS visibility:hidden. Partant de là il suffit de parcourir tous les spans de la page affichée et de transformer la propriété visibility:hidden en visibility:visible.

Bien sûr cette méthode ne fonctionne que pour les balises <span> et uniquement si celles-ci ont été cachées en utilisant la propriété visibility. Mais jusqu’à présent je n’ai pas trouvé une seule page sur laquelle cela ne soit pas fait comme cela.

Petit conseil aux super développeurs qui ont pondu un concept du genre : utilisez des <div> ou d’autres balises et les propriétés display ou opacity pour continuer à ferrer du pigeon ! Et quand ça ne suffira plus il faudra songer à cacher le contenu côté serveur et à le faire apparaître en Ajax ^^

6 commentaires »

Zahia.fr – nouveau projet plein de rebondissements

Par Paul le Lundi 26 avril 2010 | 1 commentaire »

Si vous ne vivez pas dans un igloo vous devez connaitre ce prénom qui a envahi ces derniers jours le petit monde de la presse et plus particulièrement celui de la presse en ligne. Si toutes-fois vous vivez dans un igloo, le fait que vous soyez arrivé jusqu’ici témoigne du fait que vous êtes connecté à internet (balaise dans un igloo !) et je vous conseille donc de faire une petite recherche sur google pour voir de quoi je vais parler ici.

Voyant le scandale pointer le bout de son nez j’ai fait ce que tout bon webentrepreneur fait dans ce cas là : go go gandi.net et check des noms de domaines en rapport avec l’affaire !

Et là, bonne surprise : le nom de domaine en .fr est libre… Ni une ni deux, et sans même savoir ce que je pourrais bien mettre dessus, je réserve le nom de domaine et commence à réfléchir à une idée de concept à la con que je puisse développer dans l’urgence que le buzz impose.

L’idée est simple : la twittosphère bourgeonne de talent et d’humour noir, exploitons cela ! Je me renseigne rapidement sur l’API de recherche de twitter et vois combien elle est simple. Le concept est né.

Je rentre du travail en RER et commence à dessiner, sur le trajet les grandes lignes d’un cahier des charges très sommaire (une feuille A4 tout compris !). Le soir même je poste un tweet à 18h30 (oui j’avais quitté tôt pour avoir un peu de temps pour développer ça) pour annoncer le début de la phase de dev imminente.

Quelques heures plus tard, et après avoir pris une grosse pause pour aller voir des amis, je reposte un nouveau tweet à 1h10 annonçant la fin de la phase de dev et le début de la mise en prod.

Le site a donc vu le jour en un peu moins de 6 heures, je crois que c’est un record pour moi… Mais je n’ai pas dit mon dernier mot et attend avec impatience un prochain scandale à nom de domaine libre pour essayer de faire mieux :)

Le site

Le site est plutôt simple : à droite on affiche les résultats de recherche en temps réel (cachés 30 secondes quand même) et au milieu le meilleur de l’humour noir des internautes. En cliquant sur un bouton dans la timeline de droite on peut choisir de faire figurer un tweet parmi les résultats du centre de la page qui composent en fait le contenu du site.

Les internautes peuvent aussi voter pour ces tweets afin de leur attribuer une note qui permette de les trier.

Les meilleurs tweets sont renvoyés vers un compte twitter (Zahiafr) qui les retweete automatiquement, permettant d’assurer un peu de viralité au tout.

Bref en un mot un BDG-like (ou VDM-like pour ceux qui ne savent pas que BDG est plus vieux que VDM de quelques semaines) basé sur twitter et dont le thème est relatif au sujet chaud du moment.

Lire la suite de : Zahia.fr – nouveau projet plein de rebondissements

1 commentaire »

Retrouver le créateur d’une fanpage sur Facebook

Par Paul le Jeudi 15 avril 2010 | 7 commentaires »

Cet article fait référence à une version de Facebook qui n’est plus d’actualité.
Pour trouver la nouvelle méthode à utiliser pour identifier le créateur d’une fanpage, lisez l’article suivant :
[Facebook] Trouver le créateur d’une fanpage (bis).

Je sais j’écris beaucoup à propos de Facebook ces derniers temps. Mais là j’ai trouvé un truc assez intéressant pour retrouver le créateur d’une page fan sur le réseau social le plus utilisé du moment.

Je vous préviens tout de suite, la technique est assez compliquée et implique de trifouiller un peu plus que d’habitude.

L’idée est assez simple à la base :  lorsque l’on affiche la liste des fans d’une page, ceux-ci sont affichés par ordre d’inscription – les derniers inscrits étant affichés en premier. Aussi, en toute logique, le créateur de la page doit-être le dernier de la liste aka le premier inscrit.

Lorsque la page n’a qu’un faible nombre de fans il est assez simple de tous les parcourir à la main – Mais si l’on s’attaque à un sujet hautement intellectuel tel que « Obliger un agent de la SNCF à travailler et le regarder pleurer » (exemple pris au hasard parmi les derniers statuts de mes amis facebook), on ne va pas s’amuser à parcourir xx pages à la main.

De quoi a-t-on besoin ?

Pour trouver cette astuce je me suis basé sur Firefox ainsi que deux de mes extensions préférées : Tamper Data et Firebug.

Avec Tamper Data on va modifier la requête envoyée par Facebook pour choisir d’afficher la dernière page – ceci va générer un bug et les données, bien que transmises, ne seront pas affichées – il faudra donc les lire à l’aide de Firebug.

Tamper Data

Tamper Data permet de modifier tous les paramètres d’une requête envoyée au serveur – qu’elle soit synchrone ou asynchrone. Cette extension est très pratique pour faire des essais en Ajax et avait déjà été utilisée dans un précédent hack qui permettait de visionner tous les profils Facebook, qu’ils soient publics ou non. Télécharger

Firebug

Je n’ai même pas envie de présenter cette extension tant vous auriez tort de ne pas déjà la connaître ! En l’occurrence elle va nous servir à analyser le retour d’une requête Ajax que le script côté client a du mal à rendre… C’est pas grave, on est plus fort que Chuck Norris, on lit directement le code source ! Télécharger

Lire la suite de : Retrouver le créateur d’une fanpage sur Facebook

7 commentaires »

Page 9 sur 21« Première...789101120...Dernière »