lundi 5 février 2018

Après l'interdiction des plateformes d'échanges de bitcoins sur son territoire, la Chine s'attaque aux « mines » à bitcoins

Cette nuit en Asie : la Chine veut débrancher les « mines » à bitcoins

Après l'interdiction des plateformes d'échanges de bitcoins sur son territoire, la Chine s'attaque aux « mines » à bitcoins, ces immenses hangars où des milliers d'ordinateurs « produisent » et « sécurisent » la cryptomonnaie.

Nouvelle secousse de taille pour le bitcoin, cette cryptomonnaie à l'ascension fulgurante pour les amateurs de sensations fortes. Après l'interdiction en septembre des plateformes d'échanges de bitcoins sur son territoire , la Chine a désormais décidé à s'attaquer aux « mines » à bitcoins, ces immenses hangars où des milliers d'ordinateurs « produisent » et « sécurisent » des bitcoins et dont les propriétaires sont rémunérés en bitcoins.

Le principal organisme de réglementation financier chinois a publié la semaine dernière un document ordonnant aux autorités locales de « guider » les « mineurs » afin de préparer une « sortie ordonnée » du bitcoin, indiquent plusieurs médias anglo-saxons. « Ces entreprises dites de minage qui produisent des monnaies virtuelles ont consommé énormément de ressources et ont attisé la spéculation », dénonce le document.

Des mineurs extrêmement énergivores

Extrêmement énergivores, les mineurs ont prospéré dans les régions peu peuplées de la Chine où l'électricité est abondante et peu coûteuse et où les températures sont fraîches, condition nécessaire au fonctionnement de systèmes informatiques puissants. La Chine représenterait près de 80 % de la puissance informatique consacrée à l'offre de bitcoin dans le monde. La compagnie d'électricité de Sichuan aurait déjà publié un avis interdisant à ses centrales hydroélectriques de fournir toute énergie pour les mines bitcoin, tandis qu'un responsable de la région du Xinjiang, tout à l'ouest de la Chine, a confirmé au « Wall Street Journal » avoir reçu l'avis.

Crypto-monnaie: Scandale Coincheck : les autorités japonaises avaient prévenu la société en amont du vol

Technologie : Cette révélation met en porte à faux les autorités de régulation tout comme la plateforme d'échange qui la semaine dernière a été délestée de 530 millions de dollars de monnaie virtuelle. Au delà de l'enquête en cours, la question de la régulation ou de l'interdiction est posée.

L'Agence des services financiers du Japon (FSA) avait fortement incité les responsables de la plateforme d'échange de crypto-monnaie Coincheck à réparer les failles de sécurité de son système, et ce bien avant la découverte du vol de 530 millions de dollars en décembre dernier apprend-t-on ce vendredi. Des audits organisés par cette organisation avaient révélé des problèmes de sécurité bien avant que le hack ait lieu. Le constat de ces manquements était même une des raisons qui avaient valu à Coincheck de ne pas recevoir l’agrément des autorité pour opérer en toute légalité. Une autorisation provisoire avait cependant été accordée à la plateforme.

Page d'accueil du site de la plateforme Coincheck. Les inscriptions sont pour l'heure suspendues, et les éditeurs présentent leurs "sincères excuses" aux clients.
Coincheck a déclaré que la monnaie virtuelle était stockée dans un "hot wallet" au lieu du "cold wallet", plus sécurisé, et utilisé sur les plates-formes indirectement connectées à l'Internet. La plateforme d'échange n'utilisait pas non plus de couche de sécurité supplémentaire connue sous le nom de système multi-signature.
10 fonctionnaires de la FSA ont effectué un nouvel audit dans le bureau de Coincheck vendredi matin a mentionné le ministre des finances du Japon. Ils interviennent dans le cadre d'une enquête qui vise à déterminer la méthode utilisée par les pirates pour pénétrer dans ce qui s'avère être un des plus important cyber-coffre fort du monde. L'inspection portait sur la rémunération des clients, les conditions financières et la gestion du système d'échange, et les efforts de Coincheck pour protéger ses clients a déclaré un haut responsable de la FSA à Reuters.

Interrogations sur la stratégie du Japon face aux monnaies virtuelles

Des inspections ont également été décidées sur les autres plateformes d'échange japonaises. Coincheck doit remettre aux autorités un rapport le 13 février sur les origines du vol et les mesures de sécurité prises depuis. Coincheck a également remis ses données de communication à la police de Tokyo pour enquêter sur le vol. Les autorités de plusieurs pays enquêtent également sur ce vol impliquant la crypto-monnaie NEM.
Coincheck a déclaré vouloir rembourser environ 425 millions de dollars d'argent virtuel dérobé à ses clients. La FSA a déclaré devoir encore confirmer si la société avait suffisamment de fonds pour effectuer ce remboursement. "Nous savons où les fonds ont été envoyés" avait déclaré Yusuke Otsuka, de Coincheck, lors d'une conférence de presse. "Nous les traçons et si nous sommes en mesure de continuer le suivi, il peut être possible de les récupérer". Le hack a été découvert vendredi 26 janvier.
La connaissance par le régulateur des failles dans le système de Coincheck avant le vol devrait probablement attirer davantage l'attention sur l'approche du Japon en matière de régulation des échanges de crypto-monnaie. L'année dernière, le Japon est devenu le premier pays à réguler les échanges au niveau national. Une décision qui contrastait fortement avec la position officielle de la Chine ou de la Corée du Sud, qui adoptent graduellement une position répressive contre les cyber-monnaies et leurs utilisateurs.

Le Bitcoin a son plus bas depuis novembre 2017

La hausse soudaine de la valeur des pièces numériques et le flot de nouveaux investisseurs attirés par ce marché ont suscité la nervosité des régulateurs mondiaux à propos d'un secteur largement utilisé pour la spéculation, et selon certaines sources pour blanchir de l'argent.
Le Bitcoin, la plus importante crypto-monnaie au monde, a dérapé de 11 % jeudi, à son plus bas niveau depuis novembre, suite à une interdiction promulguée par Facebook de mettre en avant sur son réseau social des publicités vantant les mérites des crypto-monnaies. Les déboires de la place de marché Bitfinex inquiètent également considérablement les investisseurs.
En 2014 la plateforme d'échange Mt. Gox, qui traitait 80 % des transactions de bitcoin dans le monde, avait fait faillite après avoir perdu des bitcoins d'une valeur d'environ un demi-milliard de dollars suite à une attaque. Plus récemment, la plateforme sud-coréenne Youbit a du déposer son bilan après avoir subit deux piratages l'an dernier.

REF.:

dimanche 4 février 2018

Pirater le CPL de son voisin, c’est simple

Un chercheur en sécurité a trouvé une faille pour s'introduire à distance dans un grand nombre de prises courant porteur en ligne. Permettant, par exemple, de se greffer sur l'accès Internet d'un parfait inconnu.

Si vous disposez d’une box Internet avec décodeur TV, il y a des chances que vous utilisez des prises courant porteur en ligne pour interconnecter les deux. C’est en effet la solution la plus simple et qui offre la meilleure qualité de débit. Mais saviez vous qu’en faisant cela, vous augmentez considérablement le risque de vous faire pirater votre accès Internet? Voire même de vous faire espionner? C’est en effet ce que vient de démontrer le chercheur en sécurité Sébastien Dudek, à l’occasion de la conférence NoSuchCon, qui s’est déroulée du 19 au 21 novembre au siège du parti communiste. « J’ai récemment emménagé dans une colocation, explique le jeune ingénieur diplômé en 2012. Mais le wifi était de mauvaise qualité, j’ai donc acheté des prises CPL. C’est comme ça que tout a commencé. »

Les compteurs électriques n'isolent pas le trafic

Recherche documentaire sur Internet, analyse de trafic protocolaire, reverse engineering… le hacker décortique méthodiquement ses adaptateurs et, finalement, découvre un moyen pour s’introduire à distance dans un grand nombre de réseaux CPL. Sa méthode repose tout d’abord sur une faille dans le réseau électrique lui même. « Contrairement à ce que l’on pourrait penser, les signaux CPL ne sont pas arrêtés par les compteurs électriques. Seuls les plus récents sont capables de les filtrer. Quand les compteurs sont plus anciens, on arrive à capter les signaux d’appartements voisins, voire même au niveau de tout un immeuble », explique M. Dudek.

Entre deux prises CPL, le trafic circule par le courant électrique de manière chiffré. - Entre deux prises CPL, le trafic circule par le courant électrique de manière chiffré.

Mais capter les signaux ne suffit pas pour s’introduire dans un flux CPL, car ce dernier est plutôt bien chiffré (AES 128 bits pour les plus récents). Certes, certains utilisateurs négligents oublie d’activer l’appairage de sécurité qui, par une simple pression de bouton, permet de générer une nouvelle clé de chiffrement. Dans ce cas, le mot de passe du réseau est celui défini par défaut. Et souvent, il s’agit de « HomePlug » ou « HomePlugAV ». « L’accès au réseau est alors immédiat. La prise CPL pirate s’associe automatiquement aux autres. Et l’on peut surfer gratuitement sur Internet », explique le chercheur.
Mais comment faire lorsque une nouvelle clé a bien été définie? En menant plus loin ses recherches, M. Dudek découvre que chaque prise CPL dispose d’un mot de passe unique baptisé « Direct Access Key », qui est d’ailleurs affiché sur le boitier (voir image ci-dessous). Et celui-ci, oh surprise, permet de changer le clé de chiffrement entre les prises CPL, à condition d’envoyer la bonne requête à travers le réseau électrique (SetEncryptionKeyRequest). La principale difficulté reste donc à trouver ces fameux DAK (autrement que de s’introduire par effraction dans un appartement, évidemment).

Des codes intéressants se trouvent sur les prises... - Des codes intéressants se trouvent sur les prises...

Mais là encore, le chercheur fait une belle découverte. Pour les prises CPL basés sur le chipset Qualcomm Atheros - qui est l’un des plus diffusés - il se trouve que le DAK est… un dérivé de l’adresse MAC de l’adaptateur. Et ce n’est pas tout: l’algorithme de dérivation est librement accessible. Voilà qui est bien pratique, car il existe par ailleurs une requête spéciale dans le standard HomePlug AV (« Sniff ») qui permet de récupérer automatiquement l’adresse MAC d’une prise CPL branchée sur un routeur-modem. Et le tour est joué.
En résumé, n’importe qui dans un immeuble peut se brancher sur l’Internet de son voisin, à condition que celui-ci dispose d’un CPL basé sur Qualcomm Atheros et que les compteurs électriques ne soient pas trop récents. « La faute revient aux fabricants qui utilisent tous le même algorithme de dérivation, car il leur est fourni par Qualcomm. Ils devraient utiliser leur propre algorithme », souligne l’ingénieur. La bonne nouvelle dans cette affaire est pour les Freenautes: ils peuvent dormir tranquille, car les prises CPL fournis par Free reposent sur un autre chipset.

REF.:

vendredi 2 février 2018

St-Isidore,Mercier eau potentiellement pollué ?

Le pollueur disparaît, le contribuable paie la note

Un dépotoir abandonné de la Rive-Sud coûtera des millions de dollars à Ottawa

Ottawa devra dépenser plus de 25 millions $ de fonds publics pour nettoyer un ancien dépotoir de la Rive-Sud de Montréal qui menace de contaminer l’eau potable près de Mercier, car le pollueur a abandonné le site.
Le terrain connu sous le nom de dépotoir Sambault est situé en pleine zone agricole dans la municipalité de Saint-Isidore, près de Mercier.
De fortes doses de contaminants, pour la plupart cancérigènes, s’y étendent sur pas moins de 15 hectares, d’après les analyses du gouvernement.
Les agents fédéraux l’ont classé en priorité d’intervention élevée « en raison du potentiel de la contamination de l’eau souterraine », indique la porte-parole de Services publics et Approvisionnement Canada (SPAC), Sonia Tengelsen.
Après avoir dépensé 2,7 M$ pour étudier l’étendue des dégâts, Ottawa vient d’accorder un contrat de 15,8 M$ à l’entreprise Golder pour qu’elle empêche la pollution d’affecter la nappe phréatique. Ottawa compte ensuite investir un autre 10 M$.
Pendant des décennies, ce dépotoir a accueilli des déchets de toutes sortes.
« C’était une “dompe” qui recevait tout sans aucun contrôle, souvent clandestinement, y compris des déchets dangereux apportés par camions depuis les États-Unis », relate l’écotoxicologue Daniel Green de la Société pour vaincre la pollution.
Le propriétaire plie bagage
En 1995, l’entreprise a été dissoute. La société ayant été enregistrée au fédéral, quand le propriétaire a mis la clef sous la porte, c’est SPAC qui a hérité de la patate chaude.
« Les propriétaires ont abandonné le terrain, relate le maire de Saint-Isidore, Sylvain Payant. Quand bien même on les poursuivrait, il n’y avait aucune solvabilité de ces gens-là, il n’y avait rien à faire avec eux autres. »
Ottawa devra donc puiser dans les poches des contribuables pour réhabiliter l’endroit.
Piéger l’eau contaminée
Pour ce faire, Golder va recouvrir le site d’un dôme pour empêcher que l’eau de pluie y tombe et s’y contamine, et construira une usine qui pompera et purifiera l’eau souterraine déjà contaminée.
Ottawa prévoit ensuite dépenser 500 000 $ par an pendant un minimum de 20 ans pour l’opération de l’usine.
La méthode, appelée piège hydraulique, est similaire à celle qui est en place sur le site des lagunes de Mercier, où le ministère de l’Environnement du Québec opère une usine de pompage et de traitement de l’eau contaminée depuis 1984.
Le Journal a toutefois révélé le mois dernier que l’usine d’Environnement Québec rejette de l’eau fortement contaminée dans la nature, et non pas de l’eau propre.

Territoire sacrifié à tout jamais

Ottawa prévient d’ores et déjà que le terrain de l’ancien dépotoir Sambault, à Saint-Isidore, ne sera jamais propre, car l’opération de nettoyage est jugée trop coûteuse.
« Les coûts du retrait des sols contaminés étaient évalués à plusieurs centaines de millions de dollars », précise la porte-parole de Services publics et Approvisionnement Canada, Sonia Tengelsen.
Pour le maire de Saint-Isidore, Sylvain Payant, il s’agit d’un territoire « sacrifié à jamais ».
« Il n’y a aucune possibilité de développement pour la municipalité dans cette zone », dit-il.

Sylvain Payant, <i>maire de St-Isidore</i>

Photo courtoisie

Sylvain Payant, maire de St-Isidore

Toutefois, l’intervention d’Ottawa le sécurise, car elle permettra de protéger la ressource en eau.
Pas comme Mercier
L’écotoxicologue Daniel Green, président de la Société pour vaincre la pollution et chef adjoint du Parti Vert du Canada, salue l’interventionnisme du gouvernement fédéral.
Les travaux entrepris devraient selon lui permettre d’éviter à Saint-Isidore le cauchemar des lagunes de Mercier, situées non loin de là.

Photo Agence QMI, Frédéric T. Muckle

Daniel Green, écotoxicologue

Ce terrain est le pire site contaminé du Québec. Il a reçu des tonnes de déchets toxiques pendant des décennies.
Les polluants ont progressivement atteint la nappe phréatique et condamnent désormais l’eau potable de trois municipalités.
Au cœur d’une saga judiciaire depuis les années 1990, le site n’a jamais été décontaminé malgré les recommandations du Bureau d’audiences publiques sur l’environnement.
« C’est sûr que les lagunes de Mercier, que tout le monde connaît dans la région, c’est un exemple qu’il ne faut pas répéter », souffle le maire Payant.

► Ottawa a pris la responsabilité de l’ancien dépotoir Sambault en 2010. En 2012, il y a attribué un contrat de caractérisation environnementale à la firme TechnoRem. Puis, en octobre 2017, la compagnie Golder y a remporté le contrat de réhabilitation. Le gros des travaux débutera l’été prochain.

REF.:

Bulk Crap Uninstaller : Désinstaller facilement vos applications sur Windows

Beaucoup d’utilisateurs connaissent Revo Uninstaller ou encore IOBit Uninstaller pour désinstaller les applications sur Windows.
Ces programmes sont mis en avant, parce qu’ils mettent (soit disant) de nettoyer Windows de toutes traces après la désinstallation d’une application.
Personnellement, je ne suis pas du tout fan de ce type de programme même si Revo Unintaller peut s’avérer utile lorsqu’une application ne se désinstalle s comme il faut.
Bulk Crap Uninstaller noté BCUninstaller est un désinstalleur assez intéressant qui offre quelques fonctionnalités utiles.
Voici une présentation de ce désinstalleur.

Table des matières [masquer]

Présentation de Bulk Crap Uninstaller

BCUninstaller est proposé par un installeur ou en version portable.
Vous pouvez télécharger cet utilitaire depuis ce lien : Télécharger Bulk Crap Uninstaller
Avec Bulk Crap Uninstaller, vous pouvez plus facilement gérer les applications installées.
Notamment avec ce dernier, vous pouvez :

identifier les programmes inutiles, une note par les utilisateurs est donnée pour chaque application
permet d’énumérer les programmes qui prennent le plus de place disque
de supprimer un programme de la liste des programmes installé
permet de désinstaller plusieurs applications qui sont sélectionnées. Bulk Crap Uninstaller est aussi capable de détecter les liens entre applications pour propose d’autres désinstallation.

Bulk Crap Uninstaller se présente avec la liste des applications avec la légende en bas à droite.

Les applications certifiées sont en vert et celles non vérifiées en bleus.
Les applications du Windows Store sont en cyan
Les désinstalleurs qui ont été supprimées sont en gris

Par certifié, on entend que le désinstalleur possède une signature numérique qui indique qu’il n’a pas été modifié et qu’il appartient bien à l’éditeur de l’application.

Pensez que la liste peut-être triée en cliquant sur les colonnes, il est alors très simple pour regrouper par des caractéristiques communes.
Par exemple, on peut facilement regrouper les applications mal notées.

ou encore les applications qui se chargent au démarrage de Windows et qui peuvent impacter la vitesse Windows :

Le menu de gauche

Le menu de gauche est aussi très utile, puisqu’il permet de chercher une application par le nom, le nom de l’éditeur etc.
Vous pouvez aussi filtrer la liste.

Désinstaller une application avec Bulk Crap Uninstaller

La désinstallation peut se faire en mode silencieux, aucune question ne vous ait posé et la désinstallation se fait automatiquement.
Sinon vous pouvez suivre un assistant qui permet d’accéder à certaines options de désinstallation.
Dans cet exemple, nous sélectionnons plusieurs applications Xbox.
La première page vous demande de confirmer la désinstallation des applications sélectionnées.

puis vous pouvez créer un point de restauration système et modifier certains options de désinstallation.

Enfin on peut lancer la désinstallation.

qui se fait automatiquement.

Comme tous ces types de programmes, vous pouvez lancer un nettoyage du registre Windows.

Autres fonctionnalités de Bulk Crap Uninstaller

Lister les applications qui prennent le plus de place disque

Pour faciliter l’identification des applications qui prennent de la place disque, BCUninstaller propose un graphique par carré selon la place disque utilisé par l’application comme peut le faire une application comme WindirStat.
Plus le carré est grand, plus l’application prend de la place disque.
On peut bien sûr trier les applications par la colonne size pour faciliter encore plus leurs identifications.

Supprimer une application de la liste des programmes

Un clic droit permet de supprimer une application de la liste des programmes installés.
Cela est utile lorsqu’une application a été supprimée manuellement.
En théorie, BCUninstaller doit afficher celle-ci en couleur grise.

Nettoyer le dossier Program Files

Depuis le menu Outils > Nettoyer le dossier Program Files, BCUninstaller peut analyser les dossiers de Program Files et vous proposer de supprimer les dossiers inutiles.
Il s’agit de dossier vides ou pouvant être les vestiges d’applications mal désinstallées.
Vérifiez bien la liste proposée, BCUninstaller ne va cocher que les applications en confiance bonne.

REF.: Nettoyer le dossier Program Files

Blogue a Théodule !

Rechercher sur ce blogue