~bohwaz/blog/

Avec de vrais morceaux de 2.0 !

Why you shouldn't rely on DKIM, SPF, and other whitelists

On the mail servers I manage we get thousands of spams every day. It's the same for every email server out there I guess, but there is something really different in France compared to other countries. In France the spam is actually legal and backed by the government. Yes a spam company can actually buy a database containing e-mails for non-profit organizations and companies from the INSEE public institute and then sell it again to its customers. The customers can then send spams to those email addresses, as long as they provide an opt-out unsubscribe link in the mail.

You can try and click on any number of opt-out links you wish, it doesn't change anything. At best you won't receive new spams from this specific announcer, but the spam provider often sells its database to hundreds of other announcers and will continue to relay spam through to you. When I actually tried to click as many opt-out links I could in a month, I actually got a huge increase of spam afterwards. It may seem incredible, but you can not trust those spam providers to actually stop sending spams. Weird. (Irony.)

There is a non-profit organization called "Signal Spam" which is supposed to fight spam, but a vast majority of its partners are actually spam providers like MailChimp or eCircle. Even the president of Signal Spam is the CEO of an « emailing » company called ExactTarget. I discuss the matter in details in this post about Signal Spam (in french). To this day Signal Spam doesn't seem committed at all to bring spam providers to justice or to lobby for a more protective law against spam.

About DKIM and SPF

A few years ago when I heard about SPF, and then about DKIM, I thought that would be a great idea to help fight spam. Now I can truly say that they are both very bad ideas. Even if they were actually working with real emails, which they don't, as they break most mailing lists and forwardings. But the worst is that out of the two thirds of emails my SMTP servers received who were using DKIM or SPF, more than half of those emails were actually spams.

Yes, spammers do use SPF and DKIM, and they do use them well. For this means that if an email does actually have a valid DKIM or passes the SPF test, there is more than a 50% chance that it is not a real email.

So when you are writing your spam filtering rules you should never trust that a message that passes the DKIM or SPF test is a legit email as it is often not the case.

The default rules for SpamAssassin for example are too not too optimistic if the mail passes the DKIM or SPF test, which is the right thing to do.

About whitelists

One thing that SpamAssassin didn't get right is that it trusts the whitelists. For example a valid DKIM domain which is in the SpamHaus Whitelist will get its spam score decreased by 3.5 points. That's a lot actually, as many spammers do manage to get listed in whitelists. One example is MailChimp, one of the largest spam provider out there, which is listed in ISIPP IADB.

As a result spams coming from MailChimp will get through your spam filter. What a shame.

I suggest to use those rules in your SpamAssassin local.cf file:

score DKIMDOMAIN_IN_DWL 0
score __RCVD_IN_DNSWL 0 
score __RCVD_IN_IADB 0
score RCVD_IN_RP_CERTIFIED 0
score RCVD_IN_RP_SAFE 0

This will disable the whitelists completely, so that no request is made to those servers. It will save you some bandwidth and CPU, as well as rejecting more spams.

To help block more spams I will soon release a new DNS blacklist server which will help to reject emails from MailChimp, eCircle, MailJet and other "legal" spam providers.

Pourquoi Signal Spam ne sert à rien (au mieux)

Question simple. Réponse simple : parce que rien de sérieux n'est fait au niveau législatif pour le combattre. C'est même plutôt le contraire.

Si la réglementation Européenne est plutôt favorable aux particuliers (seul l'opt-in est autorisé), en France elle est carrément défavorable aux professionnels où c'est l'opt-out qui règne. Ce qui signifie en clair qu'une fois votre adresse dans leurs fichiers, vous êtes cuit. Vous avez beau cliquer comme un malade sur les liens pour se désabonner, cela ne change rien. Au mieux vous ne recevrez plus de messages de cet expéditeur-là, mais l'entreprise de spam qui a envoyé ce spam continuera de vendre votre adresse à d'autres expéditeurs. Au pire, comme un test personnel l'a prouvé récemment, cela confirmera au spammeur la validité de l'adresse et multipliera le nombre de spams reçus.

Et où les entreprises de spam vont-elles pécher leurs adresses ? Dans le fichier SIRENE vendu par l'INSEE bien sûr ! Quand vous avez créé votre association, que vous vous êtes enregistré en auto-entrepreneur ou avez ouvert votre EURL vous pensiez bien faire en mentionnant votre adresse e-mail pour faciliter vos communications avec l'administration ? Et bien pleurez maintenant : une fois votre adresse e-mail dans le fichier SIRENE, celui-ci est revendu à des dizaines de spammeurs qui revendent les fichiers à d'autres spammeurs, et ainsi jusqu'à l'éternité. En bonus vous recevrez même des catalogues et autres publicités dans votre boîte aux lettres postale, on sait jamais si vous manquiez de papier pour allumer le poêle cet hiver.

Et ce en toute légalité, c'est beau la loi quand elle protège les intérêts d'une minorité au détriment de la majorité.

Pourtant il existe en France une structure censée lutter contre le spam : Signal Spam. Fondée en 2007, cette association promettait des lendemains qui chantent si vous vous inscriviez sur leur site et que vous leur envoyiez vos spams. L'initiative est la seule à être d'envergure en France et à recevoir un soutien des pouvoirs publics. La CNIL et l'ANSSI conseillent de transmettre nos spams à Signal Spam, c'est donc que ça doit être sérieux.

Des partenaires douteux

Mais à quoi servent ces signalements ensuite ? Écoutons parler Thomas Fontvielle, secrétaire général de Signal Spam (interview du 16 juillet 2013) :

On peut dresser une brève typologie des actions autorisées par les signalements :
- La désinscription des listes de diffusion qui comprennent les adresses de l’internaute auprès des membres de l’association ;

Je. Hein. Quoi ? Les membres de Signal Spam ont des listes de diffusion ? Et on pourrait être amené à signaler leurs messages ? Mais pourquoi donc ? Est-ce que ça voudrait dire que les membres d'une association destinée à lutter contre le spam pourraient être des spammeurs ? Je suis dubitatif. Allons voir la liste des partenaires de Signal Spam. Que voyons-nous comme noms ?

Experian Marketing Services, ExactTarget, MailChimp, NP6 MailPerformance, MailUp, Ividence, Email Stratégie, DoList, Expert Sender, RapidMail, INXMail, Smart Focus, MailJet, SPLIO, Return Path, eCircle, Cabestan, etc.

En visitant les sites de ces « partenaires » on retrouve souvent les même phrases et mots qui reviennent : « délivrabilité », « e-mail marketing », « newsletter », « campagne marketing », « emailing ». Vous voulez ce que ça veut dire ? Toutes ces entreprises sont des spammeurs professionnels. Quelque soit le nombre de mots à la con qu'elles peuvent mettre sur leurs sites, ces boîtes sont les machines de guerre du spam et représentent plus de 90% du spam qui circule sur mes serveurs. Du spam que je n'ai évidemment jamais sollicité.

2.000 spams gratuits chez ce partenaire de Signal Spam.

Signal Spam est si directement et intrinsèquement lié aux entreprises de spam que ça se voit jusque dans sa direction. En 2008 l'APRIL quittait Signal Spam, mettant en cause le coût prohibitif de l'adhésion, mais aussi le fait que le président de l'époque, Dominique Roux, était également administrateur de la société 1000mercis. L'activité de cette entreprise ? Les « campagnes d'emailing » bien sûr. Le lien entre Signal Spam et cette société était si fort que le siège de l'association était le même que celui de la société.

Bien sûr, depuis Signal Spam a peut-être appris de cette erreur de communication pour élire un président un peu plus « neutre » ? Et bien non, le nouveau président de Signal Spam, Jean-Philippe Baert, est aussi vice-président d'ExactTarget, un autre expert de « l'email marketing ».

Mais on pourrait décemment se dire que malgré les apparences Signal Spam pourrait fournir un service de qualité et réellement lutter contre le spam. En 2010, Arobase.org relevait déjà que « de fait, Signal Spam s’avère un échec », soulignant le manque de bilan concret de son action.

La preuve par le spam

Depuis Signal Spam n'a toujours pas montré de résultats probants. Et pour cause. Prenons des extraits des derniers spams reçus sur un serveur mail pour montrer d'où ils proviennent :

from o16.p4.mailjet.com

MailJet, une entreprise partenaire de Signal Spam.

from mail161.us4.mcsv.net
X-Mailer: MailChimp Mailer

MailChimp, un autre partenaire.

from a8-59.smtp-out.amazonses.com

Amazon SES, partenaire classique des spammeurs.

from evo1mta1a97.emstechnology2.net

Le WHOIS du domaine emstechnology2.net nous apprend qu'il appartient à Experian, encore un partenaire Signal Spam.

from oxim15.net

Domaine appartenant à la société OXEMIS, partenaire de l'entreprise Return Path, elle-même membre de Signal Spam.

from pl1kcca.choice-easy.net

Domaine appartenant à la société PKY Services, membre du SNCD (Syndicat National de la Communication Directe), qui est membre-fondateur de Signal Spam.

from smtp584.vtrtyuiu.info

Domaine appartenant à Ediware, signataire d'un accord avec Signal Spam.

Et je pourrais continuer longtemps comme ça… Vous remarquerez que les domaines expéditeurs concernés varient d'un spam à l'autre histoire de contourner les blacklist, un comportement typique des spammeurs.

On constate donc que non seulement Signal Spam est au mieux inutile, ne générant aucune poursuite ou condamnation contre les spammeurs, mais pire elle pourrait servir à ses « partenaires » à apprendre comment déjouer les filtres antispam. En effet l'un des services de Signal Spam, en partenarait avec les fournisseurs de webmail (dont Orange et SFR) est de remonter les IP et domaines les plus signalés. Si on faisait du mauvais esprit on pourrait dire que cela sert aux fournisseurs de spam de changer d'IP quand celles-ci deviennent trop signalées, et ainsi continuer à spammer sans limite.

Solutions temporaires

Je travaille actuellement à la mise en place d'un nouveau serveur de liste noire DNS qui permettra de bloquer les mails provenant de ces entreprises qui envoient du spam « légal ». Il sera assorti d'un répertoire de règles SpamAssassin permettant un filtrage plus fin.

En attendant je vous propose quelques règles pour SpamAssassin qui bloqueront la plupart de ces messages, à mettre dans votre /etc/spamassassin/local.cf.

header __LR_LEGALSPAM_1         exists:X-EMV-CampagneId
header __LR_LEGALSPAM_2         exists:X-Mw-Campaign-Uid
header __LR_LEGALSPAM_3         exists:X-campaign-id
header __LR_LEGALSPAM_4         exists:X-campaign_id
header __LR_LEGALSPAM_5         exists:X-uid-id-m
header __LR_LEGALSPAM_6         exists:X-Mailin-Client
header __LR_LEGALSPAM_7         exists:X-rpcampaign
header __LR_LEGALSPAM_8         exists:X-Campaign
header __LR_LEGALSPAM_9         exists:X-MC-User
header __LR_LEGALSPAM_10        exists:X-eCircle-Complaints
meta LR_LEGALSPAM_HEADER        (__LR_LEGALSPAM_1 || __LR_LEGALSPAM_2 || __LR_LEGALSPAM_3 || __LR_LEGALSPAM_4 || __LR_LEGALSPAM_5 || __LR_LEGALSPAM_6 || __LR_LEGALSPAM_7 || __LR_LEGALSPAM_8 || __LR_LEGALSPAM_9 || __LR_LEGALSPAM_10)
describe LR_LEGALSPAM_HEADER    "Legal" spam (emailing)
score LR_LEGALSPAM_HEADER       4.0

header LR_AMAZON                exists:X-SES-Outgoing
describe LR_AMAZON              Sent from Amazon spam network
score LR_AMAZON                 0.5

header LR_SUSPECT_MAILER        X-Mailer =~ /(PHPMailer|php|mailing)/i
describe LR_SUSPECT_MAILER      Suspect mailer agent
score LR_SUSPECT_MAILER         0.5

header LR_LEGALSPAM_MAILER      X-Mailer =~ /(delosmail|cabestan|ems|mp6|wamailer|eMailink|Accucast|Benchmail|ACEM|Sendinblue|Streamsend|Edatis|Mailchimp)/i
describe LR_LEGALSPAM_MAILER    Mailer agent often used by "legal" spammers.
score LR_LEGALSPAM_MAILER       4.0

header LR_CSA_SENDER            exists:X-CSA-Complaints
describe LR_CSA_SENDER          Certified Senders Alliance (mostly spam)
score LR_CSA_SENDER             0.5

Je conseille de compléter également avec les règles fournies par SaphirTech qui bloquent aussi pas mal de spams français.

Chinese sellers using fake tracking numbers and websites

AliExpress and eBay are the largest online stores, and you can basically buy anything at a cheap price from the sellers registered on these websites. That's thanks to Chinese Post really (REALLY) cheap parcel prices for small items. You can just order some small gadget for less than €1, shipping costs included, when just sending a postcard to your grandma living 10 kms from you will cost you more in stamps.

There is a belief that buying on those websites is dangerous. Like maybe you pay and the product is of bad quality (well yes sometimes, for the price don't expect the top quality stuff), or you don't even get the product at all, or the warranty service is non-existent. In my experience the sellers on eBay and AliExpress are really helpful, and they will refund you if you don't get the package after some time, or if the product breaks, no questions asked and no need to send the product back (as it would cost more than the product price!). This is a much better experience than having to deal with a European customer service, which often requires to send back the product to another country, at your own cost (with Sandisk you have to send the product back to Czech Republic, it costs around €10, and after 4 to 8 weeks you get a new product, that's a shitty service).

But sometimes the Chinese sellers are trying to earn some more money (not that I would blame them). AliExpress require sellers to send their parcels with a tracking number. But sending an untracked parcel is a bit less expensive. So what some sellers do? They send an untracked parcel and provide you with a fake tracking number and a fake tracking website. The website will show some dates and events which may appear to be kind of realistic. This is one recent example:

Shipping To - DIJON
Shipping From - SZ, China

    2014-11-15, 2014-11-15, Acceptance, CHINA 
    2014-11-18, Export of international mail, China 
    2014-11-23, Processing, left China 
    2014-11-24, Import of international mail 
    2014-11-27, Handed to customs 
    2014-11-29, Customs clearance completed 
    2014-12-04, Processing,, BourgogneSorting 

You might think at first "Oh, my home town is mentioned and the package actually is moving, fine I just have to wait some more."

Well yes but all of this is fake. The website (ws-shipping.com) is completely empty, except for a field to enter the tracking number, and was registered on march 2014. There is no privacy policy, no information on the company or anything else. The tracking history may seem to be legit, but if you come back often you will see that it is appearing at some pre-determined intervals depending on the destination country.

The website actually knows how long an untracked parcel may take to get to this country, and fills in the gap with fake tracking history. That's clever really, as is the idea to include the destination address in the history. But it still is a complete fake tracking history that does not provide any real information whatsoever.

It doesn't mean your order won't be arriving or that it wasn't sent, it just means it is untracked. So don't trust this website (but there are others), and if the parcel never arrives you'll have to open a dispute on AliExpress or eBay to get your money back.

Convert comics to read on Kindle

Kindles can actually read comic books, and it works with the alternative Duokan firmware too (awesome piece of software, you should use it). You just have to rename the CBZ files to ZIP. But sometimes the pictures might not be in the right orientation, as they would be easier to read in landscape instead of portrait, and files are heavy with high resolution images we don't actually need on the Kindle screen.

So here is a short and useful script to convert a CBZ, ZIP or CBR comic file to a Kindle-compliant ZIP file: cbz2kindle.sh

Usage is easy:

$ cbz2kindle.sh My_Comic.cbr
Unraring...
Resizing, trimming and converting images...
............................ OK
Re-zipping to My_Comic.kindle.zip...

You will need imagemagick, unzip and rar (part of the Debian non-free archive) to make this work.

The script is actually converting JPEG files to PNG while rotating them to fit best, resizing to 800x600 and converting to a 16 levels grayscale image.

Its works quite well with some comics, and the size is small (around 25MB for a 300 pages comic book). But some comics are intended for a larger format and the text is hard to read sadly. We really need a 12"-something color e-ink e-reader really. Where is it?!

What does 'E' and 'K' mean for a Shimano bottom bracket cartridge?

It is for accessories that mounts on the bottom bracket:

"E" means you can install an "E-type" front derailleur which is an uncommon kind. Wikipedia explains it like this: "This type front derailleurs do not clamp around the frame's seat tube, but instead are attached to the frame by a plate mounted under the drive side bottom bracket cup and a screw threaded into a boss on the seat tube. These derailleurs are usually found on mountain bikes with rear suspension components that do not allow space for a normal derailleur's clamp to go around the seat tube."

E-Type derailleur

"K" means you can install a chain case.

"EK" means you can have both "E-type" front derailleur and chain case.

That's all!

Partager une imprimante en réseau avec une BBox, une Livebox, ou Box B&You (Debian/Ubuntu)

  1. Brancher l'imprimante en USB sur la box
  2. Installer CUPS sur sa machine si ce n'est pas déjà fait : $ sudo apt-get install cups
  3. Reconfigurer CUPS pour activer le backend IPP14 : $ sudo dpkg-reconfigure -plow cups, répondre Oui à la première question et cocher IPP14 dans la seconde question.
  4. Se rendre sur l'interface d'administration de CUPS, qu'elle soit graphique ou via le serveur web sur http://localhost:631/
  5. Ajouter une nouvelle imprimante avec l'adresse réseau ipp14://192.168.1.254:631/ipp (si l'adresse IP de votre box est différente, la changer, évidemment), choisir le bon driver etc.
  6. C'est bon.

L'illusion de la fausse sécurité : les banques françaises ont tout faux

Quand on a une expérience dans la sécurité informatique, il ne passe pas un jour sans que l'on soit horrifié par le manque de sécurité de ce que l'on peut rencontrer au quotidien, et encore plus des éléments les plus importants. Un exemple criant sont les banques. Malgré ce qu'elles veulent vous faire penser, non seulement leurs sites sont parfois des passoires pleines de failles, mais plus grave ce sont les procédures de sécurité qu'elles conçoivent qui sont dépourvues de la moindre réflexion. Ces entreprises ont-elles un jour consulté un expert en sécurité, ou même ne serait-ce qu'une personne un peu intelligente ? On peut en douter, et on va voir qu'elles feraient mieux d'embaucher des gens compétents le plus vite possible.

La plupart des banques de nos jours sécurisent l'accès aux comptes de leurs clients à l'aide de plusieurs techniques.

La CB « sécurisée » (SecureCode)

Déjà il y a le paiement par carte bleue, qui a maintenant une procédure dite « sécurisée ». En réalité dans le meilleur des cas la banque vous enverra un SMS avec un code à usage unique qu'il vous faudra retaper sur le site. Au pire des cas le site de paiement vous demandera… votre date de naissance. Inutile de dire que si vous vous faites voler votre portefeuille, celui-ci contiendra sans aucun doute une carte d'identité, passeport ou carte Vitale qui fournira ladite date de naissance. Et même sans se faire voler son portefeuille, on ne peut pas dire que ce soit une information particulièrement secrète : elle figure sur votre compte facebook, sur votre CV, sur les dizaines de formulaires que vous remplissez chaque année, etc. Bref il n'y a aucune raison valable d'utiliser la date de naissance pour valider une transaction, cela ne prouve en rien que c'est bien vous, et c'est ridicule. Et même si la banque vous demande de confirmer la transaction par SMS, je vous laisse imaginer l'utilité de la manœuvre si vous vous faites voler portefeuille et téléphone en même temps. Sans même mentionner les risques qu'une application installée sur votre smartphone transmette tous vos SMS à un attaquant (vous savez le fameux jeu que vous avez utilisé 2 minutes qui demande à lire vos SMS ? Et bien il transmet tous vos SMS à un serveur distant.).

Les ordres de virement

La seconde sécurité est la confirmation des opérations effectuées sur le site de la banque. Par exemple pour réaliser un virement ou ajouter un bénéficiaire de virement. C'est la même méthode que précédemment, avec un SMS contenant un code unique à retaper sur le site web. Et donc avec les même risques. Certaines banques ne demandent d'ailleurs que de ré-entrer son mot de passe, ce qui n'est pas non plus beaucoup mieux. Mais rassurez-vous, certaines banques exigent encore de leur envoyer un courrier papier pour ajouter un bénéficiaire. Et si, c'est possible, même en 2014. Visiblement ces banques pensent que falsifier une signature est plus difficile qu'intercepter un SMS. Laissez-moi rire. Si au moins ces banques vérifiaient les signatures d'ailleurs. Je vous laisse tenter l'expérience, la prochaine fois que votre banque requiert votre signature, de griffonner n'importe quoi. Vous serez surpris de constater que ça passe toujours. La logique est simple : vérifier ça prend du temps, donc ça coûte cher, donc ce n'est pas fait. Ça coûte moins cher de traiter les réclamations avec les clients qui se font abuser.

Enfin, certaines banques sont tellement incompétentes qu'après avoir mis en place l'ajout de bénéficiaire de virement par Internet, elles font marche arrière au prétexte pour revenir au papier, en prétextant que cela a occasionné des tentatives de fraudes. Sérieusement. « OK les gars on n'est pas doués pour sécuriser nos opérations en ligne, on va revenir aux opérations physiques, c'est la même merde mais au moins on a l'habitude. » Ah, ça bosse dur là-bas dites donc.

On pourrait se dire que logiquement que quand même c'est mieux dans le cas des virements d'avoir une confirmation par e-mail, car si on peut se faire voler son téléphone, on ne peut pas nous voler notre code client et mot de passe, donc pas d'accès aux comptes. Mais non, c'est la même chose, car l'accès aux comptes est lui-même complètement déficient à tous les points de vue. Et pour combler leur incompétence crasse, les banques essayent de vous faire croire qu'elles maîtrisent en vous montrant de jolies choses, et par exemple les claviers virtuels.

Les identifiants

Commençons par le plus gros problème des banques françaises : la quasi-totalité d'entre elles donnent un mot de passe qui n'en est pas un. Ce n'est pas un mot, c'est un code. Le plus souvent à 6 chiffres seulement. Quand ce n'est pas 4 chiffres ! C'est ridicule, cela ne permet pas de choisir un mot de passe de qualité, et la plupart des gens utilisent leur date de naissance ou de mariage. L'identifiant ne vaut pas mieux, c'est souvent simplement le numéro du compte ou du client.

Le clavier virtuel

Il y a eu à une époque une psychose sur les keyloggers sous Windows qui enregistreraient les identifiants bancaires. Depuis cette époque toutes les banques ont réalisé que leur système d'authentification n'était pas sécurisé du tout. Mais au lieu de passer à quelque chose d'un peu plus sérieux comme du two-factor par exemple, elles ont simplement rajouté une horrible rustine sur le tout. Cette rustine c'est le clavier virtuel. Mais si vous en avez déjà vu : ce sont ces fameux claviers numériques où il faut cliquer sur les chiffres plutôt que de les taper au clavier. Les keyloggers ne peuvent donc plus enregistrer les touches tapées au clavier.

Niveau expérience utilisateur c'est une catastrophe : non seulement ces claviers sont inutilisables par les non-voyants ou mal-voyants, mais ils sont une véritable plaie à utiliser sur mobile où il est quasiment impossible de rentrer le code d'accès correctement dès le premier essai. Enfin on ne peut plus utiliser le gestionnaire de mots de passe de son navigateur ou OS, qui est probablement bien plus sécurisé que le site de la banque, et on doit donc perdre du temps à retaper son code d'accès à chaque connexion.

Enfin niveau sécurité, si le keylogger ne peut plus enregistrer votre frappe au clavier, n'importe qui jetant un œil sur votre écran (dans un cybercafé, au travail, sur son mobile dans les transports en commun) saura non seulement votre identifiant qui est affiché en clair, mais aussi votre code d'accès en regardant les mouvements de votre curseur de souris.

Et vous ne savez pas le pire ? En à peine quelques semaines, de nouveaux keyloggers sont apparus. Ceux-ci enregistrent donc maintenant également les clics de souris. Certains font de la reconnaissance de caractère pour décoder le chiffre que vous cliquez, mais d'autres vont au plus simple : ils enregistrent une capture d'écran de la zone de l'écran qui entoure le curseur au moment du clic.

Autrement dit, le gain en sécurité de ces claviers est simplement nul. Les seuls qui sont emmerdés sont les clients. Leur seule utilité est marketing : elle veut montrer aux clients que leur sécurité est en de bonnes mains. Tout comme au siècle précédent les banques devaient avoir de beaux bâtiments imposants, avec du marbre et de grands espaces. Tout cela pour que les clients aient confiance et mettent leur argent dans les banques, en ayant l'impression que la banque était riche et pouvait rembourser les avoirs déposés. Mais tout cela n'est que du bluff. Tout comme les banques ne sauraient rembourser les avoirs qui leur ont été confiées, elles sont incapable de garantir la sécurité de vos comptes.

Par curiosité j'ai analysé le code des claviers virtuels de plusieurs banques françaises, et je dois dire que c'est encore pire que ce que je pensais. Dans une très large majorité des cas le principe est très simple : une image contenant le clavier (le tableau avec les chiffres) est affichée, et quand on envoie le formulaire on envoie en réalité la position du clic. Parfois la position est de type coordonnées X/Y dans l'image, parfois c'est un chiffre qui reprend l'affichage des chiffres du clavier.

Dans tous les cas j'ai réussi à créer un court script qui détermine le chiffre cliqué et permet de retrouver le code d'accès entré. En quelques dizaines de minutes seulement. Et comme toutes les banques fonctionnent de façon similaire, il est très rapide de faire un script qui permettrait de décoder directement les chiffres cliqués. Pas besoin de keylogger, il suffirait d'une extension Firefox ou Chrome compromise… Et quand on sait l'absence de vérification sérieuse des actions et du code des extensions publiées sur les magasins d'extension de ces deux navigateurs, il y a de quoi sérieusement s'inquiéter.

Et si seulement le tableau s'arrêtait là… Mais en réalité il n'y a pas une procédure pour rattraper l'autre. Car si un attaquant ne s'attaque pas à votre machine pour récupérer votre code, il peut souvent générer un nouveau code d'accès via la procédure de « code perdu » qui n'est pas plus sécurisée. Souvent il suffit de la date de naissance, du numéro de téléphone, et éventuellement d'une autre information personnelle disponible sur votre carte d'identité comme le lieu de naissance ou l'adresse postale, et après un SMS de confirmation vous pourrez changer le code d'accès aux comptes du client. Certaines banques renvoient le code secret par courrier seulement, car comme on l'a vu, le courrier papier est la forme de communication la plus sécurisée qui soit…

Mention spéciale à certaines banques qui à cette occasion vous proposent (case pré-cochée) de recevoir du spam par email et SMS. Normal.

En conclusion je recommande de ne pas utiliser les claviers virtuels quand c'est possible (certaines banques permettent de le désactiver, mais parfois il faut utiliser un script GreaseMonkey) : ils n'apportent aucune amélioration notable de sécurité et emmerdent plus qu'autre chose. Si vous êtes réellement concerné par la sécurité de vos comptes en ligne, je vous invite à contacter votre banque afin de lui suggérer de mettre en place un système d'authentification réellement sécurisé. Il est incroyable que de nos jours l'accès au compte bancaire soit moins sécurisé que l'accès au compte Gmail !

Cartes topographiques OpenStreetMap sur Android

Si la Nouvelle-Zélande propose l'intégralité de sa cartographie en licence Creative Commons, dans les autres pays du monde on en est bien loin encore. Et notamment en France où l'IGN passe son temps à dilapider l'argent public en envoyant ses salariés faire la morale sur les forums de randonnée et vélo quand quelques utilisateurs donnent des astuces pour pouvoir récupérer les cartes du site GéoPortail sur son smartphone ou GPS. Tout ça pour des cartes de mauvaise qualité, souvent fausses depuis des années. Bon c'est un choix. Un choix stupide.

Donc en attendant que la France et les autres pays du monde réalisent qu'on est au XXIe siècle on peut toujours compter sur l'extraordinaire projet OpenStreetMap et ses merveilleux contributeurs (dont votre serviteur).

Mobile Atlas Creator (MOBAC pour les intimes, paquet mobile-atlas-creator dans Debian depuis Wheezy) est un petit logiciel (en Java hélas) qui permet de sélectionner une zone depuis une carte « en tuiles » en ligne et l'exporter en de multiples formats pour des nombreux logiciels, et même en PDF pour l'imprimer sur du papier. Il est fourni par défaut avec la configuration pour les différentes couches OSM et il est possible de le configurer pour qu'il gère aussi les cartes GéoPortail.

Sur Android le meilleur logiciel libre pour faire de la navigation avec OSM est le bien-nommé OsmAnd, ça marche pas mal, même si comme la plupart des logiciels Android (je vous reparlerais à l'occasion de l'horreur que représentent 99% des applications Android) il semble envoyer des données sur des serveurs distants sans vous en demander l'autorisation. Je vous conseille de l'installer en utilisant le magasin d'applications libres F-Droid, une bonne alternative à ce mouchard de Google Play Store.

OsmAnd

OsmAnd permet de télécharger directement depuis l'application la cartographie vectorielle du monde entier (par pays ou région), ainsi que les courbes de niveau, des voix pour la navigation, etc. La navigation fonctionne correctement, même si c'est moins fiable que Nokia HERE. L'interface est par contre assez obscure, rien que rechercher une adresse est compliqué, il n'y a pas vraiment de champ texte libre où on peut rentrer ce qu'on veut. Pour la rando on peut visualiser la carte, mais ce n'est pas vraiment le plus adapté.

Poursuivons avec un logiciel qui n'est pas libre, mais qui est gratuit et qui ne contient pas de publicité. Il s'agit du véritable couteau-suisse de la cartographie sur Android : OruxMaps. Non content de permettre de visualiser des cartes à tuile en ligne depuis OSM et autres Google Maps (et de les télécharger directement pour un usage hors-ligne) il sait aussi lire de nombreux formats de fichiers cartographiques pour une utilisation hors ligne. Ça va du format OZF2 (utilisé par OziExplorer sous Windows), aux cartes fournies avec les GPS de marque Garmin jusqu'aux cartes vectorielles au format MapsForge. Ce dernier est particulièrement utilisé pour les cartes OpenStreetMap.

OruxMaps

On peut ainsi télécharger des cartes OSM du monde entier au format vectoriel depuis le site OpenAndroMaps. Ces cartes incluent les courbes de niveaux sans rien avoir à faire de plus. Je conseille d'utiliser avec ces cartes le thème Elevate proposé sur le même site. Cela donne des cartes très claires et agréables à lire, sans compter l'utilité des sous-thèmes. Par exemple le sous-thème "Cycling" va afficher de manière plus visible les pistes cyclables et les itinéraires VTT (en orange). C'est franchement excellent.

Mais OruxMaps ne s'arrête pas là, il permet aussi de voir les cartes en 3D, de créer et afficher des itinéraires (GPX, KML et KMZ), mesurer la distance à vol d'oiseau entre deux points sur la carte, enregistrer et voir des POI, et encore des tonnes d'autres fonctions sans compter la possibilité de personnaliser l'intégralité de l'interface. Bref c'est à mon sens le meilleur logiciel pour visualiser et exploiter des cartes à pied, en vélo ou autre. L'interface est un peu austère et tarabiscotée au premier abord mais une fois qu'on a suivi un tuto c'est tout de suite plus simple.

Lampe LED USB 3 grammes

Si vous vous baladez déjà avec un panneau solaire et une batterie rechargeable USB, ou un smartphone qui permet l'USB OTG, voici une petite lampe à LED qui se branche en USB.

Poids : 3 grammes. Dispo sur ebay pour ~1,50 € l'unité.

Ça se présente sous la forme d'une petite clé USB nue (pas de plastique protecteur, juste une carte avec les composants). D'un côté les composants et les LED, de l'autre une surface plate qui sert de bouton tactile. Il y a un trou pour attacher une lanière / porte-clé. La clé peut être inséré dans les deux sens dans une prise USB (mais pourquoi est-ce que c'est pas pareil avec toutes les prises USB ?!).

Une fois branchée elle ne s'allume pas, il faut appuyer une fois sur le bouton tactile pour qu'elle s'allume. Un nouvel appui court sur le bouton et la lumière s'éteint progressivement. Quand les LED sont allumées un appui long permet de réduire l'intensité, puis un nouvel appui long permet d'augmenter. Ainsi on choisit assez finement l'intensité de la lumière. L'intensité maximale est très puissante, je déconseille de regarder directement les LED. Le faisceau est large, un peu comme le flash de l'appareil photo d'un téléphone portable (forcément y'a pas de lentille). Tant que la clé reste branchée elle mémorise le dernier réglage d'intensité, donc quand on la rallume c'est à la dernière intensité qu'on a utilisé. Si on débranche la clé elle oublie l'intensité choisie et se remet au max au prochain rallumage.

L'électronique semble de bonne qualité à première vue, ça semble assez solide, les LED chauffent légèrement à puissance maximale mais rien de bien méchant, aucun risque de se brûler en touchant directement les LED. Enfin si on veut un peu protéger le circuit des projections d'eau on peut entourer la clé de scotch : le bouton tactile fonctionne toujours avec plusieurs épaisseurs de scotch.

Au maximum la clé consomme environ 150 mA et à l'intensité minimale (suffisante pour lire de nuit) moins de 10 mA, donc entre 14 heures et 220 heures d'autonomie sur une batterie-tampon 2200 mAh en théorie. Entre 70 et plus de 1000 heures sur une batterie-tampon de 10400 mAh !

La clé fonctionne même avec un faible voltage : sur un panneau solaire sous les nuages, qui ne génère que 3 volts, les LED s'allument à l'intensité minimale. Du coup ça fonctionne aussi avec un smartphone en USB OTG.

Notes rapides... ↓