Créathlon done.

    novembre 29th, 2009

    Hop, enfin, hier c’était la dernière journée du Creathlon. Un évènement ou l’on réalise « en une semaine » (je me mets entre guillemets, car une grande partie du temps, nous avions des cours normaux) des sites internet pour des associations. Ainsi, chaque groupe devait faire le site d’une association. Pour ma part je suis tombé sur l’AAPPMA de Blanquefort.

    Ainsi, après de nombreuses heures à essayer de comprendre Joomla (sic) et au final, re-coder une partie des views (pour alléger l’affichage et le rendre sémantique – joomla n’étant pas sémantique), et réaliser mon propre template (car, il faut bien le dire, les templates de Joomla sont moches pour un site design (j’entends par là, du vrai design)) eh bien, le voilà en ligne !

    En ce qui concerne le design, je l’ai voulu très ZEN et en paysage pour le header. Ainsi, cela symbolise l’eau et l’apaisement lié à la pêche (que l’on retrouve dans les transitions du header). Pour ce qui est des tons, du vert et du beige, simplement afin de rester dans cet environnement très calme. Point de vue prog’ dure, j’ai créé le « module » d’actualités et re-développé les menus qui me semblaient trop compliqués sous un template normal. Le logo de l’association a été aussi réalisé cette semaine en deux heures.

    Bref, je suis assez content du travail fait même s’il y a quelques changements à faire sur le site (url rewriting, sémantique (H1 dans le titre), logo (ses couleurs), plan du site non linké, uF etc.). – Le tout est bien évidement administrable avec la zone d’administration – non ergonomique – de Joomla ! (wahou).

    screen

    Tags: , , , ,
    Posted in Design web, Développement web, SRC Bordeaux | No Comments »

    Petit point personnel.

    novembre 24th, 2009

    Un petit article pour vous dire pourquoi je n’ai pas le temps de publier beaucoup d’articles en ce moment sur le blog.

    Tout d’abord, je passe la majorité de mon « temps libre » sur mes études, qui sont certes, intéressantes, mais prennent beaucoup d’heures suite à différents projets. D’ailleurs, mon principal projet cette année est de refaire le site d’SRC Bordeaux, le site de mon IUT. Au programme, (re)définition du design, de la stratégie SEO/SMO, développement de plugins wordpress propres au site internet etc.

    A ce jour, je ne peux pas vous montrer ce que l’on a fait, car les maquettes, zonings, stratégies etc. n’ont pas été validés par une partie du corps enseignant. Au pire, nous devons mettre une première version du site en ligne la semaine prochaine donc keep update.

    Ensuite, cette semaine, toujours à SRC a lieu un « évènement » (au niveau de l’IUT, tout est relatif) permettant aux étudiants de réaliser des sites internet pour des associations de Blanquefort. Bref, bonne semaine en perspective – j’apprécie les rencontres et le partage de connaissances. Cependant, le CMS utilisé est Joomla. Pour ceux ne connaissant pas Joomla, c’est le seul CMS où essayer de comprendre son fonctionnement prend plus de temps que de re-coder le corps à sa guise. Là aussi, keep update, le site internet que je réalise avec deux autres étudiants sera en ligne samedi vers 15h.

    Point de vue recherches et épanouissement personnel, je suis en train de rédiger un papier sur les stratégies d’attaques et de défense des systèmes d’information. Intitulé « Tactiques, stratégies et guérillas informationnelles », il reprend les grands principes de la stratégie terrestre et grands courants de pensée stratégiques afin de les calquer dans un concept d’info-guerre tout en ayant une certaine abstraction technologique quand cela est possible. Ce papier est à l’heure actuelle à ses balbutiements, mais avance bien selon le temps dont je dispose pour me documenter et l’écrire (quelques heures par semaine, tout au plus).

    D’ailleurs, pour ceux qui s’intéressent – tout comme moi – à la stratégie terrestre, maritime, aérienne, géographique ou même globale, je ne saurai vous recommander le « Traité de stratégie » qui n’est autre que la bible stratégique que je m’efforce à lire en long, en large, en travers et à annoter depuis quelques semaines. Tout, absolument tout est bon à prendre dedans. Sa lecture est un pur bonheur et les thèmes traités abordables – je pense – même pour des néophytes en matière de (géo)stratégie.

    Pour conclure donc, n’attendez-vous pas à une réelle activité ces prochains jours, en ce moment, je suis complètement submergé par différents projets et le temps libre (le vrai) que je peux posséder, je fais tout pour le passer loin d’un PC et loin de Bordeaux avec des ami(e)s.

    Tags: , , , , ,
    Posted in Projets perso & Pro, SRC Bordeaux | No Comments »

    Keynote : Twitter : La révolution de l’information a-t-elle un prix ?

    novembre 11th, 2009

    J’ai réalisé avec d’autres étudiants d’SRC Bordeaux une présentation sur l’éventuelle révolution de l’information induite par Twitter. Ainsi, cette présentation possède comme problématique : « Twitter : La révolution de l’information a-t-elle un prix ? » (je sais, j’en suis fier =).

    Nous abordons ainsi les différentes utilisations de Twitter et ses problèmes actuels, tant au point de vue financier (comment rendre ce service économiquement viable) jusqu’à la sécurité du service et de ses utilisateurs (vulnérabilités des API).

    Un petit slide est d’ailleurs dédié à KreiosC2, le PoC permettant de transformer Twitter en cannal de communication pour BotNet par le 80 et ainsi bypasser quelques firewalls au passage (reste le problème de certains proxys internes aux entreprises, mais bon, on peut l’éliminer facilement ;) et puis, ce n’est qu’un PoC, onne va pas tout mettre sur un plateau.

    Voici les slides (hébergées sur slideshare) :

    Tags: , , , , ,
    Posted in Développement web, SRC Bordeaux, Sécurité des systèmes d'information | No Comments »

    Backdoorer un compte Twitter…

    novembre 5th, 2009

    Une news récente a permise de mettre la main sur une technique loin d’être bête permettant, par le biais d’un protocole développé à l’origine pour croiser des services de manière sécurisée (sans stocker les mots de passes des utilisateurs de l’API) de backdoorer un service utilisant ce dernier. Et évidemment, ce service, est Twitter.

    Twitter et la sécurité ce n’est pas une histoire d’amour tant pour ses utilisateurs, que la société elle-même. Bref, il s’agit d’un certain Terence Eden, qui, après avoir changé son mot de passe qui était compromis s’est aperçu que le protocole OAuth permettait, même après le changement d’un mot de passe, d’avoir la main sur le compte Twitter de la victime. Et oui, la révocation du token d’authentification de OAuth n’est pas automatique suite au changement de son mot de passe sur le service.

    Bref, une seule chose à faire, supprimer dans la configuration du profil d’éventuelles applications mises en place par l’attaquant ou tout simplement, pour les plus paranos d’entre nous, ne pas utiliser Twitter même si cela est « l’outil idéal » de veille en sécurité.

    Tiens, cela me rappelle que l’on peut aussi facilement backdoorer des comptes Gmail, mais ceci est une autre histoire ;) Keep Update ! =)

    [Source]

    Tags: , ,
    Posted in Sécurité des systèmes d'information, Tips&tricks | No Comments »

    Petit « hack » Twitter en 10 minutes

    octobre 20th, 2009

    Je voulais vous partager un petit « hack » de Twitter que j’ai réalisé l’autre jour afin de savoir en live qui regardait mon curriculum vitae en PDF ou tout autre fichier (selon mes besoins.). Ce petit hack est assez simple à comprendre, il suffit simplement de créer un fichier dynamique chargeant le fichier source du document (pdf, doc, rar, avi etc.) et envoyant grâce à l’API de Twitter différentes informations sur le visiteur visionnant ce fichier.

    Ce petit tip, je l’avais réalisé il y a quelques années sur un projet d’Honeypot basé web afin de voir quelles méthodes de récolte d’information utilisaient le plus souvent les attaquants, quelles étaient leur fréquence d’attaque, leur origine, les keywords utilisés etc. sur des fichiers autres que dynamiques.

    Pour ce qui est de ce hack, quelques points divers à respecter :

    • Il faut créer un compte Twitter pour véhiculer les notifications, il doit être protégé pour une meilleure sécurité des informations (adresses IP etc.)
    • Ne pas charger les fichiers à partir d’une variable (sait-on jamais, les imbéciles, cela existe)
    • Créez un .htaccess permettant d’interpréter le code présent dans les fichiers disposés dans le dossier (avec AddType application/x-httpd-php .pdf .doc etc.)

    Bref, la petite « classe » que j’ai créée comme tout bon dev à partir de quelques autres sources est disponible dans ce fichier. Et voici un petit aperçu de ce que cela donne dès que quelqu’un regarde mon CV en PDF :


    Notifications sur le service Twitter

    Notifications sur le service Twitter

    Je sais, pour un billet c’est assez lamentable… Mais avec SRC, j’ai plus trop de temps à faire des recherches et tests en lab. dans le domaine de la sécurité informatique ou dans d’autres domaines… dur

    Posted in Non classé | 1 Comment »