Bbox Sensation Monitoring

edit 10/04/2013 : Le problème a été apparemment résolu sur les Bbox Sensation ADSL il y a quelques semaines à la suite d’une mise à jour. Depuis l’utilisation du NAT-PMP ne génère plus de plantage de la box ou du Wifi. Le script de monitoring n’est donc plus vraiment utile (mais vous pouvez l’utiliser quand même si ça vous dit).

edit 25/02/2013 : Grâce à l’aide des CM de @bouyguestelecom, on a pu avancer sur le sujet. Ma ligne n’était effectivement pas en cause (test technique à l’appui). Le problème vient apparemment d’une incompatibilité de la Bbox Sensation avec le protocole NAT-PMP utilisé par des clients Torrent (Bittorrent, µTorrent…) mais aussi et surtout par tous les OS et périphériques d’Apple. Ce protocole permet une autodétection et une autoconfiguration réseau en dialoguant entre autres avec la passerelle (donc la box). Lorsqu’il est activé de façon continue, je voyais l’IP locale de la box apparaître dans la liste des peers des softs de P2P (!!) et la Bbox Sensation plantait systématiquement au bout de 1h30~2h. Un correctif serait en cours de développement, maintenant si vous le pouvez, je vous conseille de désactiver le NAT-PMP dans les logiciels qui l’utilisent. Évidemment, Apple ne permet pas de le désactiver (il est utilisé par le service « Bonjour »).

Ceux qui suivent mon Twitter savent que depuis trois semaines j’ai migré de l’offre Freebox Revolution vers l’offre Bbox Sensation de Bouygues. À l’origine, les problèmes de lenteur réseau chez Free, notamment pour tout ce qui concerne les services vidéo type Youtube ou Twitch.

Et depuis trois semaines, on essuie un tas de problèmes avec le modem Bbox Sensation (ADSL). Après un appel au SAV (à éviter : ils m’ont conseillé de reconfigurer mon Wifi en branchant mon iPad à l’aide d’un câble Ethernet) et plusieurs rappels de « Woobies » (Woobees ?) grâce aux Community Managers de @bouyguestelecom, le problème n’est malgré tout toujours pas résolu.

La ligne n’est certainement pas en cause car cela marchait très bien chez Free, mais apparemment cela viendrait du modem Bbox Sensation qui est très instable dans certaines configuration. Et notamment, lorsque la ligne est… utilisée (c’est à dire quand vous faites autre chose que du web).

Évidemment, quand ça marche uniquement quand on l’utilise pas, ce n’est pas spécialement agréable.

Au départ je détectais les plantages de « ligne » en lançant un ping toutes les 15s vers Google. Mais assez rapidement je me suis rendu compte que ce n’est pas la LIGNE qui plante mais la BBOX SENSATION. En effet, un simple ping vers bbox.lan (le nom de la box) montre qu’au bout de 90-100mn, la box se met à ne plus répondre au ping, et très rapidement l’interface web devient très lente puis inaccessible. Enfin, le Wifi plante et la box se bloque avec un voyant (Tel1 dans mon cas) qui passe au rouge.

La seule solution dans ce cas est un redémarrage électrique de la box. Si elle persiste trop longtemps dans cet état, la box TV se bloque également.

Des retours que j’ai à droite et à gauche, je suis loin d’être un cas isolé, car quelques amis et followers sur Twitter m’ont fait part de comportements similaires (= obligation de redémarrer la box plusieurs fois par jour).

Mais il se trouve que Nolife venait d’acheter un Raspberry Pi pour faire quelques tests d’utilisation et bidouiller quelques petites choses pour faire du monitoring – le Raspberry Pi est un tout petit ordinateur qui tient dans la main, coûte environ 30€ et fonctionne sous des systèmes comme Linux.

Et il est tout à fait possible de redémarrer la Bbox Sensation via l’interface web en cliquant sur un bouton.

Et ce n’est pas protégé.

Et je détecte le plantage imminent via un ping qui ne répond pas.

Ping.

Bouton.

Http.

Linux.

Monitoring.

SCRIPT !

Bbox Sensation Monitoring Script

Donc voilà, c’est cadeau de la maison, un script bash qui teste l’état de votre modem Bbox Sensation et qui la redémarre automatiquement dès qu’un début de plantage est détecté.

Le script a été développé et testé sous Linux Debian (raspbian pour être précis). Vous pouvez le lancer comme ça ou passer l’IP de la Bbox Sensation en paramètre (si vous utilisez un autre DNS). Je ne l’ai testé qu’avec mon modèle (Sagemcom F@st3965b).

Je ne suis pas un Bash Master, donc le script est largement perfectible et je pense qu’il y a matière à amélioration.

La seule variable vraiment modifiable est $ping_count qui est actuellement à 1. C’est le nombre de pings effectués toutes les 15 secondes, et le reboot est effectué si aucun ping n’a eu de réponse. Cependant mes tests ont montré que mettre une valeur plus grande que 1 ne sert pas à grand chose, si ce n’est attendre un peu plus quand la Bbox devient instable, et que parfois du coup le script n’arrive plus à redémarrer la box car c’est déjà trop tard.

Vous devez lancer ce script à un moment où la Bbox n’est pas déjà dans un état instable (sinon il y a des chances que l’interface web et le DNS ne répondent déjà plus).

Bien sûr il est tout à fait possible de le lancer à partir d’un Linux tournant dans une VM (ex. VMWare) à partir du moment où vous avez accès à l’interface web de la Bbox de votre VM.

Les seuls paquets dont vous avez besoin sont curl et dnsutils, à installer par exemple en faisant :
apt-get install curl
apt-get install dnsutils

Pour lancer le script et mettre la sortie dans un log, c’est évidemment :
./sensation_monitor.sh > log
et pour voir ce qu’il se passe ET avoir un log :
./sensation_monitor.sh | tee log

J’autorise évidemment Bouygues à réutiliser ce script vu qu’apparemment ils ont du mal à corriger les bugs de leur propre box. Au moins leurs abonnés n’auront plus à se lever 15 fois par jour pour redémarrer leur modem.

Sinon pour info le serveur web utilisé dans la Bbox Sensation est apparemment thttpd (un serveur http datant de 1998 (!)).

Chez moi, le modem Bbox Sensation plante (et donc redémarre) environ toutes les 90mn. Et chez vous ?

edit : Si vous êtes connecté à distance sur la machine Linux qui fait tourner le script, ce dernier risque de ne pas avoir d’effet car lorsque vous vous déconnectez de la machine ou lorsque la Bbox plante vous êtes déconnectés et le script s’arrête de fonctionner. Pour éviter cela il faut d’abord lancer le script en tâche de fond :
./sensation_monitor.sh > log &
Normalement le numéro du processus s’affiche alors (par exemple : « [1] 16432″ -> le numéro qui nous intéresse est 16432).
il faut ensuite taper
disown -h 16432
(remplacez évidemment 16432 par le numéro que vous venez de relever).
Vous pouvez voir l’activité du script en tapant
tail -f log

Passer un disque NTFS en lecture seule

De nos jours (j’ai l’impression de commencer une mauvaise rédaction avec un lieu commun de merde…), pas mal de gens utilisent des disques durs externes pour sauvegarder leurs données. Pour ceux qui en utilisent plusieurs pour du stockage profond (c’est-à-dire des données qu’on ne modifiera plus), une problématique se pose parfois : comment faire en sorte qu’on ne puisse pas modifier par erreur les données du disque ?

Sous Windows, c’est possible en rendant un disque formaté NTFS accessible en lecture seule (read only). Un disque dur configuré de cette manière ne peut plus être modifié par qui que ce soit.

La manipulation se fait en ligne de commande via l’utilitaire DISKPART intégré notamment dans Windows 7.

Lancez la ligne de commande en mode Administrateur. Pour cela tapez « cmd » ou « powershell » dans la recherche du menu démarrer et faites un clic droit sur l’exécutable puis « Exécuter en tant qu’administrateur ». Perso je conseille Powershell mais ça marche aussi très bien avec le vieux cmd :)

Tapez DISKPART et appuyez sur [Entrée]
Vous rentrez alors dans l’utilitaire diskpart, l’invite de commande change :

DISKPART>

Les commandes suivantes peuvent être tapées indifféremment en majuscules ou minuscules.

Tout d’abord il faut démonter le volume, c’est à dire enlever sa lettre de lecteur Windows. Pour commencez, listez tous les volumes actuellement connus du système :

DISKPART> LIST VOL

Vous aurez une liste dans le genre :

  Volume ###  Ltr  Label        Fs
  ----------  ---  -----------  -----
  Volume 0     D   Données      NTFS
* Volume 1     C   Système      NTFS
  Volume 2     E   Mon backup   NTFS

L’étoile (*) indique sur quelle volume on est en train de travailler. Pour sélectionner le volume qui nous intéresse (ici le n°2) :

DISKPART> SELECT VOL 2

Vous pouvez retaper LIST VOL pour vous assurer que vous avez bien changé de volume.

Ensuite pour enlever la lettre de lecteur et démonter le disque :

DISKPART> REMOVE

DiskPart successfully removed the drive letter our mount point.

Pour passer le disque en lecture seule :

DISKPART> ATT VOL SET READONLY

Volume attributes set successfully.

Vous pouvez voir que l’attribut lecture seule est bien mis :

DISKPART> ATT VOL

Read-only              : Yes
Hidden                 : No
No Default Drive Letter: No
Shadow Copy            : No

La commande inverse (repasser le disque en lecture/écriture) est la suivante :
DISKPART> ATT VOL CLEAR READONLY

Et pour finir on remonte le disque avec une lettre de lecteur, ici E:

DISKPART> ASSIGN LETTER=E

DiskPart successfully assigned the drive letter or mount point.

Et on quitte

DISKPART> EXIT

Leaving DiskPart...

Et voilà :)

Vous noterez que comme le volume est en lecture seule, vous pouvez désormais le débrancher sans avoir à le démonter à travers la manipulation pénible d’éjection de disque. En effet le système n’écrit plus du tout sur le volume vu qu’il est en lecture seule, donc vous n’avez plus à craindre de perte de données à cause d’un problème de cache d’écriture. De toute façon l’éjection normale se passera en général sans problème vu qu’aucun processus ne pourra accéder au disque en écriture.
Vous pouvez aussi protéger l’ensemble d’un disque plutôt qu’un seul volume (partition) en utilisant les mêmes manipulations sauf qu’il faut remplacer VOL par DISK dans chaque commande. C’est utile si votre disque possède plusieurs volumes.

Au passage j’en profite pour donner une autre astuce très pratique pour forcer le démontage d’un disque qui ne veut pas s’éjecter (c’est assez pénible et ça arrive souvent). Il suffit en fait de le démonter manuellement en enlevant sa lettre de lecteur. Pour ça vous pouvez utiliser DISKPART mais vous pouvez aussi le faire directement à l’invite de commande classique de la façon suivante (ici pour le disque E:) :

MOUNTVOL E: /D

Et vous pouvez alors débrancher votre disque qui refusait de s’éjecter avec la façon classique. Évidemment je vous conseille de bien vérifier qu’un programme n’y accédait vraiment pas en écriture avant de faire cette manipulation.

Passez votre Samsung Galaxy S2 sous CyanogenMod 9

Avant-hier j’ai voulu faire un truc de dingue : passer mon téléphone Android, un Samsung Galaxy S2, sous CyanogenMod 9 (CM9). En effet Google Android est un système dont le code source est libre et certaines équipes en dehors de Google font des versions alternatives de très bonne qualité, un peu comme c’est le cas pour Linux. CyanogenMod est une des versions alternative les plus réputée, qui en plus permet souvent d’avoir la dernière version d’Android pour votre téléphone même si votre fabricant ne fait plus de mise à jour pour votre modèle.

Dans le cas du SGSII, l’avantage est d’avoir un système plus joli et plus réactif que la version de Samsung. Ce dernier rajoute en effet une grosse surcouche avec sa propre interface graphique et plein d’applis Samsung dont on se tape pas mal en général.

La difficulté majeure de l’opération est qu’elle n’est pas aussi simple que de cliquer sur un bouton pour faire une mise à jour (comme le fait iTunes pour l’iPhone). Mais de façon générale les mise à jour Android se font toujours dans la douleur, c’est d’ailleurs une des grandes faiblesses de cet OS. Pour passer à CyanogenMod il y a une difficulté supplémentaire qui est qu’on passe d’un firmware officiel (Samsung) à un firmware alternatif (CyanogenMod). Les deux versions étant différentes, il faut d’abord « rooter » le téléphone et installer un logiciel permettant de faire une mise à jour non-officielle.

Malheureusement je dois avouer que pratiquement tous les tutos sur le net sont vraiment HYPER MAL BRANLÉS. En plus il y en a des dizaines, souvent obsolètes, qui se renvoient les uns vers les autres, vers des wikis, des forums… Vraiment rien n’est fait pour vous aider, au final.

Commençons donc par la base, allons sur la page de CyanogenMod pour le Samsung Galaxy S2. On y trouve le lien de téléchargement, un lien vers le forum et un wiki. Et c’est TOUT. Absolument AUCUNE EXPLICATION sur comment installer le merdier n’est donnée sur cette page.

[edit]
On m’avait aussi indiqué de « bons tutos ». En voici un SENSÉ être pour les noob. Je l’adore, celui-ci. Je vous le copie/colle (avec les liens) :

- Make sure you’re running ICS bootloaders lower than LPH! (if you’re unsure, flash the CM9 Resurrection Edition)
- Make sure you’re running a proper working ClockworkMod-Recovery
- Copy GApps and CM9 ZIPs to your internal SDCard
- Boot into Recovery
- Flash CM9 zip
- Flash GApps zip
- DO A DATA WIPE / FACTORY RESET (otherwise your calendar sync will not work)
- Reboot
- Don’t restore Apps using Titanium Backup!

Et le pire c’est qu’ils sont sérieux.
[/edit]

Comme en général les forums sont de véritables fourre-tout mal branlés (et celui de CM9 n’est pas une exception, quand on clique sur le lien on trouve un message qui explique que la version stable n’est pas stable et des appels au secours de gens qui cherchent comment installer le firmware), direction le wiki pour savoir comment installer c’te truc sur votre téléphone.

Étape 0 : Pré-requis

Pré-requis pour comprendre ce tutoriel :
- Comprendre l’anglais
- Savoir qu’en France le modèle de Samsung Galaxy S2 est le « GT-I9100″, « GT-I9100P » ou « GT-I9100G », vérifiez bien votre numéro de modèle dans les informations système.
- Savoir que « Ice Cream Sandwich » (ou ICS) est le nom d’Android 4.0
- Comprendre que sur ce téléphone, le dossier « sdcard » renvoie en fait à une mémoire intégrée à votre téléphone. Si vous avez rajouté une SD Card, son contenu se trouve en fait dans le dossier « external_sd ». Vous ne trouverez cette explication nulle part.
- Que votre téléphone soit déjà sous ICS. Si vous avez un téléphone datant d’il y a un an pas mis à jour, ça n’est pas le cas. Mais en fait je suis pas sûr que ça compte (vous n’aurez pas la réponse sur le tuto).
- Avoir installé disponible sur cette page (cherchez « Odin »).

Débranchez le câble USB de votre téléphone, éteignez-le et ensuite maintenez les touches [Volume Bas] + [Power] + [Home] jusqu’à ce qu’un message apparaisse. Appuyez sur la touche [Volume Haut]. Votre téléphone se met en mode d’attente de téléchargement USB.
Lancez Odin sur le PC.
Branchez le câble USB sur votre téléphone. Attention : dans mon cas j’ai galéré comme un con car Odin ne marche pas avec les prises USB3 (elles sont bleues). Choisissez plutôt une vieille prise USB pourrie sur votre PC.
Dans Odin cliquez sur le bouton PDA et choisissez le fichier tar que vous avez téléchargé plus tôt. Cochez PDA, les cases « Auto Reboot », « F. Reset Time » doivent être cochées.
Odin a normalement détecté votre téléphone, une case en haut est devenue jaune.
Cliquez sur « Start ». Votre téléphone se met à jour et redémarre, c’est rapide.

Étape 2 : Root

Maintenant vous devez rooter votre téléphone, c’est à dire débloquer un mode spécial qui vous donne accès à des fonctions normalement interdites de mise à jour et de modification système. Une fois rooté certaines applis pourront avoir accès à ces fonctions, mais le système vous demandera toujours une confirmation (comme sur un ordinateur de bureau, une alerte s’affichera). Évidemment vous n’accepterez pas systématiquement car vous êtes intelligent et que vous ne voulez pas de virus.

Le tutoriel de CyanogenMod vous envoie complètement chier sur ce sujet, il est absolument useless.

Il vous faut donc un autre tutoriel mieux foutu pour rooter votre téléphone.

Comme indiqué trouvez votre version de système en tapant sur le clavier d’appel du téléphone le numéro mystère suivant : *#1234. Seuls trois caractères de la ligne « PDA » sont importants : les trois derniers. Dans l’exemple « I9100XWKE7″, c’est « KE7″. Il s’agit d’un code indiquant la date et la version de votre système actuel.

Le tuto sur le root vous envoie lui aussi chier (surprise !) et vous renvoie sur un forum pour trouver le fichier qui vous sera utile. Comme je l’ai dit plutôt, plus bordélique et merdique tu meurs. Ma méthode : y aller et faire une recherche sur les trois caractères (dans mon exemple, « KE7″). Téléchargez le zip correspondant qui doit contenir un TAR, et vous avez ce qu’il vous faut pour finir le tuto sur le root. Si vous trouvez plusieurs fichiers qui correspondent, prenez celui que vous voulez, on s’en tape (en tout cas je suis tombé dans ce cas et j’ai fait au pif, et ça a marché).

Ensuite la manipulation est exactement la même que celle que vous avez faite pour installer ClockWorkMod Recovery plus haut (éteindre le téléphone, Odin, etc). Le tuto sur le root vous donne en plus de jolies captures d’écran.

Étape 3 : CyanogenMod. Ah en fait, non.

Dernière étape, installer CyanogenMod. Pour cette étape j’ai voulu ne pas m’emmerder et j’ai téléchargé l’application ROM Manager sur Google Play (la version gratuite). L’avantage c’est qu’elle télécharge tous les fichiers nécessaires et qu’elle fait tout automatiquement.

Par exemple, vous pouvez installer ou mettre à jour ClockworkMod Recovery directement à partir de ROM Manager, ce qui nous aurait épargné l’étape 1. Ça, ça a bien marché chez moi.

Et ensuite, vous POURRIEZ télécharger et installer CyanogenMod dirrectement à partir de cette appli. Le problème c’est que ça n’a pas marché (CWM me faisait une erreur à la con : impossible de monter /sdcard/).

Donc laissez tomber cette solution, vraiment, ça ne sert à rien, j’ai perdu 30mn là-dessus.

Étape 3 : CyanogenMod

Téléchargez le zip de CyanogenMod (la dernière stable).
Téléchargez les Google Apps qui correspondent à la version de CyanogenMod que vous venez de télécharger.

Foutez les deux zip à la racine de votre téléphone (par USB à partir de votre PC).

Éteignez votre téléphone, puis maintenez les touches [Volume Haut] + [Power] + [Home] jusqu’à ce qu’un petit menu bleu apparaisse : c’est ClockworkMod Recovery, le truc que vous avez installé au tout début.
Les touches pour se déplacer sont [Volume Haut] et [Volume Bas] et pour valider la touche [Power].

Choisissez « wipe data/factory reset », ce qui effacera vos applications et toutes vos préférences système.
Choisssez « wipe cache partition », ce qui efface un truc qui s’appelle le « dalvik cache » (qui sert à accélérer le fonctionnement des applications, rien à voir avec les daleks).
Allez dans « install zip from sdcard » puis « choose zip from internal sdcard ». Choissez le zip de CyanogenMod que vous avez mis sur votre téléphone, faites la mise à jour.
Recommencez « choose zip from internal sdcard » pour installer le zip des Google Apps.
Revenez au menu principal et choisssez « reboot system now ».

CyanogenMod est installé.

Entrez les informations de votre compte Google puis allez dans Google Play. Toutes vos informations et applications synchronisées avec Google vont se réinstaller.

Voilà.

Pas compliqué. Mais apparemment personne n’est capable d’expliquer ça simplement chez CyanogenMod.

Apple/Amazon : Perdez votre vie numérique en 30mn

Mat Honan est un journaliste chez Wired à qui il est arrivé la désagréable mésaventure d’être la cible d’un hacker qui voulait prendre le contrôle de son compte Twitter. Ce hacker a pu, par un enchaînement de recherches et de coups de fils, pu réinitialiser les mots de passe des comptes de sa victime suivants :
- Amazon
- Apple (Apple ID : iCloud, iTunes…)
- Google (Gmail)
- Twitter

Le hacker n’a effectué aucun achat avec les comptes Amazon ou Apple ou Google, mais il aurait pu par exemple commander des télés sur Amazon ou des applis sur les App Store… Par contre, en accédant au compte iCloud, il a pu effacer toutes les données que le journaliste stockait en ligne ET sur son Macbook via le service « Find My Mac » d’Apple (qui permet de bloquer le Mac à distance et d’y effacer toutes les données). Le journaliste a perdu un an et demi de données personnelles, notamment toutes ses photos qu’il n’avait pas sauvegardé ailleurs, car il avait trop confiance dans iCloud.

Son aventure et ses recherches sont toutes expliquées ici (en anglais).

Cet article explique de façon détaillée comment le hacker s’est introduit dans ses différents comptes. Et contrairement à ce qu’on pourrait penser, c’est vraiment à la portée de tous. Je n’ai pas moi-même effectué les manipulations mais Mat Honan a pu les vérifier lui-même. Je les traduis ici pour les non-anglophones afin de vous montrer que malgré tout ce que vous pouvez penser, vous n’êtes pas à l’abri de ce genre de mésaventure.

À l’origine, le hacker veut donc avoir accès au compte Twitter de Mat Honan. Tout d’abord il va prendre comme hypothèse que le journaliste a utilisé son adresse e-mail normale pour ouvrir le compte Twitter. Il trouve l’adresse du site web du journaliste, et sur ce site web, trouve l’adresse mhonan@gmail.com. Si le hacker veut accéder au compte Twitter, il doit avoir accès à ce compte Google pour faire un changement de mot de passe du compte Twitter.

Comment avoir accès au compte Gmail ? De la même manière, le hacker va chercher un moyen de changer le mot de passe de ce compte. Pour cela, il va lancer une procédure de récupération de mot de passe oublié. Google propose alors d’envoyer un e-mail à une des adresses e-mail alternatives que le journaliste avait indiquées à Gmail. Une de ces adresses est m****n@me.com (Google cache volontairement certains caractères). Il ne faut pas être informaticien pour deviner que cette adresse est mhonan@me.com, celle d’un compte iCloud (anciennement Mobile Me) de chez Apple. Le hacker va donc devoir avoir accès au compte Apple Me pour changer le mot de passe du compte Google.

C’est là que tout va se jouer car changer le mot de passe d’un compte iCloud n’est pas très compliqué. Le hacker, qui a par la suite contacté le journaliste, a indiqué qu’il était systématiquement possible de rentrer dans un compte Apple. Cette adresse de récupération qui devait sauver le journaliste a en fait entraîné sa perte.

Pour récupérer un mot de passe d’un compte iCloud, Apple ne demande « que » l’adresse de facturation du compte ainsi les 4 derniers chiffres du numéro de carte de crédit enregistrée sur ce compte. Comment faire pour obtenir ces deux informations très privées ?

Pour ce qui est de l’adresse, il faut faire jouer Google et toutes les bases de données possibles. Le journaliste ayant acheté un nom de domaine, son adresse était dans le Whois. Première étape terminée.

Deuxième étape, les 4 derniers chiffres du numéro de carte bleue. Le hacker a pris comme hypothèse que le journaliste avait déjà acheté sur Amazon et va rajouter une carte bancaire sur le compte Amazon de Mat Honan. Il suffit pour cela d’appeler Amazon, de leur donner un nom de détenteur de compte, une adresse e-mail, l’adresse de facturation (qu’on a déjà), et le numéro de la carte bancaire que l’on veut rajouter. Le hacker a pour cette dernière utilisé un générateur de faux numéro de carte bancaire.

Ensuite, une fois la conversation terminée, le hacker rappelle Amazon et dit qu’il a oublié le mot de passe de son compte Amazon. Il donne le nom de Mat Honan, l’e-mail, l’adresse de facturation, et Amazon demande en plus un numéro de carte bancaire associée au compte. Il a suffit au hacker de donner le numéro de la carte qu’il venait d’ajouter et bingo, Amazon lui donne accès au compte.

Une fois sur le compte Amazon, le hacker liste les moyens de paiements enregistrés : il y a en dernier la fausse carte qu’il vient de rajouter, et au-dessus, la carte bancaire du journaliste. Bien sûr, Amazon masque les numéros de cartes bancaire, sauf… les 4 derniers chiffres.

Notre hacker appelle donc Apple en donnant l’adresse e-mail de l’Apple ID, le nom, l’adresse de facturation et les 4 derniers chiffres de la carte bancaire du journaliste. Apple réinitialise le mot de passe, et le hacker a accès au compte Apple du journaliste. Au passage, il accède à distance au Mac du journaliste, y efface tout et le bloque (en rajoutant un code PIN sur le Mac), afin de bloquer toute tentative pour le journaliste de comprendre ce qui se passe.

Ensuite, il lance la procédure de changement de mot de passe de Google grâce au compte Apple, et fait de même avec le compte Twitter. Sur ce dernier, il fait de la merde et Twitter bloque le compte du journaliste.

Que nous apprend cette mésaventure ?

Tout d’abord qu’il faut éviter de lier les comptes les uns aux autres. Le hacker aurait eu beaucoup plus de peine à hacker le compte Gmail si l’adresse e-mail de restauration n’avait pas été une adresse d’un autre service facilement hackable.

Au passage, Google propose maintenant un système de « validation en deux étapes » vraiment, vraiment plus strict, qui demande un code envoyés par SMS pour toute connexion à partir d’un ordinateur inconnu. Je vous conseille fortement de l’activer : si Mat Honan avait activé la validation en deux étapes, le hacker n’aurait jamais pu pénétrer le compte Gmail.

Ensuite, on apprend aussi avec stupéfaction que les comptes Apple se hackent en deux coups de cuillère à pot. Interrogé, Apple a répondu que ses procédures de sécurité n’avaient pas été respectées, ce que le hacker et le journaliste démentent (Mat Honan a tenté plusieurs fois la manipulation et ça a marché à chaque fois).

Enfin, que Amazon aussi a une sécurité de merde qu’on peut faire sauter en 5mn, ce qui est TRÈS inquiétant. C’est pas comme si la moitié de la planète y avait enregistré son n° de carte bleue.

Je rappelle que Google, Apple et Amazon sont tous les trois des marchands et que le hacker aurait vraiment pu faire pleins d’achats pour foutre la merde.

Et, enfin, évidemment, les services clients des différentes sociétés ont été incapables de comprendre ce qui se passait.

Un autre résumé en français sur 01net

J’en profite pour signaler au passage que toutes les protections à base de questions du genre « Comment s’appelle votre mère ? » sont DE LA MERDE. Dans la majorité des cas, il suffit d’aller sur Facebook pour trouver ces informations.

Pensez-y.

Modification du 10/08 : Remplacement des références à Mobile Me par iCloud.
À priori Apple a bloqué toutes les procédures de récupération de mot de passe depuis hier, le temps de refaire un audit de leurs procédures de sécurité.

Free Mobile : Moi aussi ! Moi aussi !

Oui, moi aussi je veux mettre mon grain de sel pour dire ce que je pense des nouvelles offres de Free.

En fait ce qui m’a fait réagir, c’est cet article d’UFC Que Choisir qui détaille certains frais des offres de Free Mobile. Loin de moi l’idée de les critiquer, ils sont parfaitement dans leur rôle d’aller éplucher les offres de Free et de les comparer avec ceux de la concurrence : d’ailleurs, ladite concurrence devrait s’en inspirer au lieu de mentir comme des arracheurs de dents.

Pour ma part je me suis penché sur le coût du changement de mobile et celui, que l’on étudie plus rarement, des appels non pas À l’international mais DE l’international (quand vous êtes en déplacement à l’étranger). Le fait d’avoir eu une facture avec un surcoût de 70€ parce que j’ai eu à utiliser Google Maps pendant 5mn m’a définitivement convaincu de vérifier systématiquement ces tarifs avant de partir à l’étranger – et accessoirement, de préférer prévoir son trajet AVANT de se perdre aux USA.

En ce qui concerne le renouvellement de mobile, vous pouvez trouver des exemples un peu partout sur internet, mais le calcul est vite fait :
- Prenez un abonnement TOUT ILLIMITÉ avec engagement chez un opérateur X : ajoutez le prix que vous allez payer pour le mobile (exemple : 199€) à la totalité de ce que vous allez payer d’abonnement pendant toute la durée de votre engagement (tarif au mois x 12 ou x24). C’est ce que le tout vous coûtera.
- Prenez le forfait Free (ex. 19,99€) que vous multipliez par le même nombre de mois (x12 ou x24). Ensuite, trouvez votre mobile au meilleur prix, dans une version SANS ABONNEMENT, dans une boutique quelconque (ex. The Phone House, Apple…).

Comparez les deux. Souvent, la différence est minime, voire nulle. De plus vous pouvez souvent payer le mobile en 3 ou 10 fois sans frais. Attention par contre, il y a un piège : ce crédit sera compté dans l’endettement de votre ménage, ce qui n’est pas le cas des offres avec mobile et engagement.
Prenez aussi en compte le fait que si vous cassez votre mobile (comme le signalait UFC Que Choisir), vous avez perdu votre argent si vous l’achetez vous-même. Cependant c’est souvent aussi le cas lorsque vous l’achetez avec un abonnement : si vous cassez un iPhone 4S SFR au bout d’un mois, je vous assure que vous aurez peu de chance d’en obtenir un autre gratuitement…

edit : On me signale toutefois qu’avec les points de fidélité il est souvent moins cher de changer de mobile en se réengageant. Franchement, j’ai une faible consommation (= peu de points de fidélité) et je change de terminal tous les 18 mois environ. Et pour moi, les points de fidélité, ça ne m’a jamais été rentable. Après, à vous de faire le calcul.

En ce qui concerne les forfaits, rappelez-vous que celui de Free est tout illimité : voix, SMS, MMS, Internet (sans aucun bridage, uniquement un fair use). Les forfaits à 20€ de la concurrence, même illimités, ont souvent mis en place des bridages abusifs qui ne sont indiqués nulle part ; par exemple, Bouygues bride la taille maximale des fichiers que vous pouvez télécharger et interdit certains usages (UDP…), et ce depuis des années, et malgré les plaintes répétées de leurs abonnés.

Venons-en maintenant aux tarifs à l’international. Pour ça j’ai comparé le forfait Eden de Bouygues avec le forfait Free à 20€ sur quelques-unes de mes destinations de ces dernières années.

Vous l’aurez compris hein, j’ai mis en vert ce qui est bien, et en rouge ce qui est caca.

Ce qui saute aux yeux, c’est le prix de la data : Free est souvent plus de deux fois moins cher que Bouygues ! Même si, encore une fois, je vous déconseille plus que fortement d’y avoir recours – le simple fait d’activer la data en roaming et si vous avez un smartphone il va se mettre à télécharger tous vos e-mails, synchroniser vos contacts, télécharger des mises à jour… ou comment vider votre compte bancaire en 30s.

Du point de vue des SMS, Free est légèrement plus cher que Bouygues sauf pour les USA. On peut mettre ça sur le fait qu’ils ont dû réussir à négocier un meilleur tarif de gros.

Au niveau de la voix, pour tout ce qui est Europe on est dans du gros « c’est tout pareil » (à 1 centime près). Pour certains pays comme l’Afrique du Nord, comme le signalait UFCQC, Free est beaucoup plus cher, alors que – enfin ! – pour les USA et le Japon, on commence à avoir des tarifs humains : 0,50 € par minute en appel local ou vers la France.
Free est aussi jusqu’à 3x moins cher sur les appels reçus, ce qui est une bonne nouvelle : combien de fois ai-je du décrocher mon téléphone juste pour expliquer à la personne au bout du fil d’arrêter de m’appeler en boucle et que si je ne décrochais pas c’est que j’étais à l’étranger (je rappelle que quand vous appelez un numéro en 06 ou 07 alors que la personne se trouve à l’étranger, c’est votre destinataire qui paye la différence). Dans ce cas, aux USA par exemple, vous payez 1 € direct chez Bouygues, alors chez Free vous n’en aurez que pour 30 centimes.

Les appels d’étranger à étranger sont eux particulèrement chers dans tous les cas, donc là aussi appeler un pays autre que la France ou le pays dans lequel vous vous trouvez est à proscrire complètement (ce n’est pas 60 centimes de différence qui sauveront votre facture). Notez que chez Bouygues vous devez activer cette possibilité, si vous êtes partis à l’étranger sans avoir activé l’option correspondante, vous ne pourrez pas appeler d’autre pays que la France (et celui où vous vous trouvez).

Enfin, pour les MMS, j’ai pris comme hypothèse la taille maximale d’un MMS (100Ko), car Bouygues facture à la taille. Donc si vous recevez un MMS vide cela ne vous coûtera rien, mais avouez que cela a peu de chance d’arriver !

Conclusion : les communications de l’étranger restent toujours chères et doivent rester l’exception plutôt que la règle. Certaines destinations sont clairement de gros TRAPS quand on est chez Free, et je ne saurais que vous conseiller de consulter les tarifs de Free Mobile à l’international. Mais la bonne nouvelle, c’est qu’ils sont clairs et lisibles ! La seconde bonne nouvelle, c’est que même si vous vous retrouvez avec une facture de 100€ au lieu de 20€, pensez que cela reste ponctuel… comparé à un forfait Eden à 35~50 € PAR MOIS…

←Older