[Tuto] De la téléphonie IP très facilement avec Asterisk

Bonjour à tous et bonne année 2014 !

Je vous propose en ce début d’année un tuto assez simple sur Asterisk. Si vous ne le connaissez pas, c’est un logiciel libre qui permet de faire de la téléphonie par IP, c’est assez sympa à faire !

Le tutorial a été réalisé sur une Debian 7.3 64bits mais peut être appliqué sur d’autres versions (un raspberry pi par exemple).

Le but à atteindre :

  • Avoir un serveur de téléphonie fonctionnel, compilé à la main avec des plugins
  • Pouvoir rajouter facilement des « extensions » (numéros de téléphone)
  • Chaque utilisateur a une boite vocale personnelle
  • Les appels groupés en conférence sont possibles

Les appels pourront même être passés depuis un iPhone / Android ! :)
Je vous avoue qu’Asterisk et moi ça n’a jamais vraiment été une grande histoire d’amour, néanmoins je pense avoir réussi à le configurer proprement et à avoir une configuration de base qui peut servir à d’autres projets plus élaborés.

C’est parti !

Lire la suite

[WordPress] Lutter contre les injections et le hack

Bonsoir à tous,

Sujet un peu inhabituel sur le blog mais je suis sûr qu’il va être utile à pas mal de blogueurs à travers la toile.
Je viens de changer d’hébergeur (un article y sera consacré dans peu de temps) et lors de ce changement, mon blog a été victime de plusieurs attaques.

wordpress-hacked

Et oui, moi qui me disait qu’un petit blogueur comme scratiphone ne ferait sûrement pas l’objet d’attaques, je me suis bien trompé !

Déjà l’année dernière, un script malveillant a installé une fausse page web de banque sur mon site. OVH n’y a pas été par 4 chemins et a complètement désactivé mon site avec un gros message que l’on pouvait traduire par « démerde-toi, tu vas (nous) causer des ennuis » !!

Une simple suppression de ces quelques fichiers et tout est rentré dans l’ordre. Ce qui m’amène au premier point clé des premiers réflexes à avoir :

Gérez vos permissions de dossiers !

Les permissions sont bien là pour remplir leur rôle et peuvent être dangereuses. Des permissions moins restrictives vous donneront sans doute l’impression que votre site web fonctionne mais il laissera une porte ouverte (backdoor) aux intrusions externes.

Un exemple frappant est le WiFi. Quand on sort un routeur (autre que box opérateur) de sa boîte, on le branche, on l’allume, on se connecte et ça marche !
Mais ça marche également pour le voisin ! ;)

En ce qui concerne WordPress, il est important de sécuriser les dossiers ‘sensibles’, à savoir ceux qui donnent accès à la base de données ou aux informations de compte ftp.

En ligne de mire, les dossiers des thèmes et des plugins.

En général, on comptera sur des permissions globales de 755. Certainement pas plus ! Et moins il y en a, mieux c’est (tant que votre site fonctionne !).
EDIT : coïncidence ? Regardez l’url de cet article, son numéro généré aléatoirement est le 755 ! :D

Pour vous aider à mieux visualiser les permissions unix, je vous donne cette petite infographie d’hurricane labs que je trouve très bien faite :

unix-file-permissions1

 

Lors de ma fameuse première expérience avec le hacking, j’avais fait l’énorme erreur de donner des accès en 777 à un dossier que j’avais voulu utiliser pour partager des fichiers avec des amis…

 

Gardez vos extensions et installations à jour !

Les mises à jour WordPress et de plugins apportent énormément de fonctionnalités, mais également des corrections de sécurité.
Si vous êtes informés d’une mise à jour disponible, n’hésitez pas à la faire dès que possible.

Mais garder une extension à jour ne suffit pas !
En effet, il existe des paquets d’extensions qui avaient un développement soutenu il y a quelques mois/années mais qui désormais sont à l’abandon. Et ça, c’est très dangereux !
J’ai fait les frais lors d’une infection wordpress, 4 de mes plugins ont été touchés. Des plugins que j’utilisais sur mon blog mais qui faute de mise à jour se sont vus exposés à de nouvelles failles.

Faites donc preuve de patience lorsque vous choisissez un plugin wordpress. Lisez les changelogs, regardez le numéro de version (une version 4.0.7 montre un développement mieux soutenu qu’une version 1.0.1), Googlez d’éventuels retours sur la sécurité de cette extension.
A vérifier particulièrement sont les sondages wordpress, les plugins qui agrandissent vos photos et d’autres fantaisies.

Installez un pare-feu/anti malware sur votre blog

eval-base64-decode-hack

Un exemple d’injection de code malveillant sous wordpress (en jaune)

Si vous vous êtes fait hacker mais que vous avez récupéré votre accès au blog (grâce à un hébergeur sympa qui tient des backups réguliers ;) ), ne pensez pas vous tirer d’affaire aussi facilement.

Vous voyez ci-dessus un exemple d’attaque que mon blog a subie récemment et plusieurs fois d’affilée. Il s’agit de l’attaque base64_decode, qui utilise des failles d’extensions et de permissions pour venir installer du code malicieux dans la plupart de vos fichiers PHP et HTML.

Ceci permet aux pirates de générer des fichiers contenant les adresses ip des visiteurs ainsi que les éventuels paramètres de navigateur utilisés lors de la navigation du site, ceci sûrement afin de détecter des petites failles et obtenir accès à l’intérieur du blog.
D’autres sont plus coriaces et moins transparents puisqu’ils empêchent tout simplement la consultation du blog.

Une solution automatisée de protection et d’analyse de ces codes malveillants est donc la bienvenue !

En farfouillant sur le net, j’ai découvert wordfence. Un outil propulsé par le cloud et qui est disponible en versions gratuite et payante.

La gratuite est tout à fait satisfaisante pour un usage comme le mien, une des seules restrictions concerne la fréquence de scan sur le blog.

wordfence-main-interface

Interface principale de wordfence

wordfence-problem

 

L’avantage, c’est que tous vos fichiers wordpress sont scannés et je vous garantis que j’ai trouvé du code malveillant là où je m’y attendais le moins. Et cela a confirmé mes dires ici plus haut, les vieilles extensions wordpress sont dangereuses pour la sécurité du blog !

Je conseille également Anti-Malware by ELI qui lui permet en plus de corriger automatiquement les fichiers infectés.

anti-malware-wordpress

Qu’en penser ?

Le fin mot de l’histoire, c’est que votre blog se doit d’être surveillé. Regardez régulièrement la composition de vos dossiers, lancez des scans réguliers de vos fichiers php, ne négligez aucune piste qui pourrait compromettre l’intégrité de vos fichiers.

La moindre erreur peut être une backdoor pour votre site, le moindre petit fichier infecté peut aller se répliquer partout sur votre blog.

Il est certain que de nombreuses solutions existent. Je ne suis pas un expert en sécurité réseau et cet article n’est en aucun cas une méthode fiable à 100% pour sécuriser vos sites.
Mais je pense qu’il aidera certaines personnes à faire de bons choix et attrapper certains petits réflexes.

Et via la magie du partage internet, c’est avec plaisir que je lirai vos suggestions d’amélioration et de sécurisation de blog dans vos commentaires ! :D (whooo trop d’la balle comment il nous incite à lâcher des comz !)

Votre serviteur

[Tuto] Programmer un PIC18F46K22 avec un clône PicKit 2

2013-02-11 13.29.33

Bonsoir à tous,

Aujourd’hui un tutoriel un peu hors sujet par rapport au titre même du blog.
Dans le cadre de mon cours d’électronique, il nous est demandé de programmer un « pic » (micro-contrôleur) sur une carte électronique… Voici à quoi ça ressemble !

412176_2709548370232_214839662_o

Pas mal hein ?

Présentation des outils

Pour ce faire, on utilise un environnement de développement, MPLab, disponible sur le site web de MicroChip. Je préfère LARGEMENT utiliser la version X, qui utilise en fait Netbeans. De plus, il est multi-plateformes (Windows, Mac OS et Linux). De préférence, oubliez l’ancienne version qui est un vrai cauchemar à mettre en place (je n’exagère pas !)

Pour ce tuto, vous aurez besoin de :

  • MPLab X (cfr plus haut), accompagné d’un compilateur C18 3.45. La version XC8  pour Linux ou Mac OS fonctionne également, à part la librairie des delays.h que j’ai dû éditer manuellement (enlever un #IF et #IFEND EDIT : J’ai retrouvé la version 3.40 pour OSX, la voici !
    Si vous arrivez à faire fonctionner le PICkit 2 avec l’ancienne version de MPLab sans utiliser le logiciel de programmation externe, n’hésitez pas à me faire part de votre solution via les commentaires !
  • Service .Net de Microsoft. Faites donc bien vos mises à jour Windows avant de vous lancer.
  • PicKit 2 Programmer (disponible ici). Il faut d’abord extraire l’archive puis lancer le fichier Setup.exe et uniquement celui-là !
  • Ce fichier de configuration personnalisé (PK2DeviceFile.dat)

L’ennui, c’est que le PIC18F46K22 ne peut être programmé que via USB ou par port RJ11.

  • La première solution, via USB, est la plus facile. Elle ne requière qu’un simple câble et un petit logiciel (AN1310). Le grand désavantage, c’est que ce logiciel écrit dans la mémoire volatile. Autrement dit, à chaque fois que l’on enlève la source d’alimentation de la carte, le programme s’efface. :(
    Pas très efficace donc pour programmer à long terme, car vous devez toujours avoir un pc à disposition pour montrer un programme fonctionnel sur la carte.
  • La deuxième solution, via le RJ11 est plus complète. Elle va écrire dans une mémoire non volatile et réutilisable. Ainsi, le programme sera disponible même si la carte a été éteinte entre temps.
    Mais cette solution demande un composant externe, un programmateur/débogueur de Pic, que l’on trouve chez MPLab. Soit le kit ICD3, soit le PicKit 2.

Lire la suite

iOS 5 : Un petit tour des nouveautés

Et oui, nous sommes déjà fin septembre, et à moins de vivre dans un bunker vous devez être au courant de la sortie imminente de iOS 5, la grosse mise à jour pour iPhone/iPod/iPad. Je vous propose de faire un tour des nouveautés qui me sont les plus marquantes, façon scratiphone ;)   Suivez le guide en lisant la suite !

Lire la suite

[Tuto express] Si toutes les Apps du store plantent…

Une petite trouvaille que j’ai découverte sur un forum anglais, que je pense être très utile à vous faire partager.

Lors du replacement de la batterie de mon iPhone 4, lors du premier démarrage celui-ci a été considéré comme un nouvel iPhone pendant quelques secondes. Il s’est auto-activé par lui même, je pensais donc être tiré d’affaire.

Que nenni !

Toute mes applications de l’AppStore téléchargées et achetées ne voulaient plus se lancer. Quelques « versions d’évaluation » d’applications se lançaient sans souci (un comble !)

La solution est toute simple :

  • Ouvrez l’Appstore, téléchargez une application gratuite et lancez-là

Fini ! :D

 

[Tuto] Changer la batterie de l’iPhone 4

Salut à tous ! :)

Aujourd’hui, j’ai reçu ma batterie de remplacement pour mon iPhone 4 ! :D

J’avais acheté mon iPhone d’occasion, en parfait état (merci à Belgium iPhone et son sympathique forum !). Tout était niquel, mis à part l’autonomie assez chaotique. Je voyais les % descendre à vue d’œil.
Alors il est vrai que la version 4.3 et 4.3.1 ont un énorme impact sur la batterie, je l’ai constaté. Mais le souci était pourtant visible même en 4.2.1

C’est donc sur eBay que j’ai trouvé une batterie de remplacement, OEM, pour environ 7$… C’est donné ! ;)

Voici donc la marche à suivre si vous désirez également vous lancer dans l’opération. Cela dure 10 minutes, c’est relativement facile à faire si on a les bons outils. Ayez confiance en vous ! :D

 

Matériel requis

Matériel requis

 

 

 

 

 

 

 

 

Donc il vous faut :

  • Un iPhone 4 (Nan ?)
  • Une batterie de remplacement
    (c’est mieux..)
  • Des outils de démontage :
    tournevis et levier
  • De la patience et du sang froid !

 

Dévissage des ... vis !

Dévissage des ... vis !

Lire la suite

Tuto : Regarder megavideo en quelques clics sur iOS

Oyez, oyez !

Aujourd’hui je vais vous faire part d’une trouvaille assez sympathique qui vous permettra de regarder des vidéos de l’hébergeur megavideo sans avoir recours à un ordinateur !

Beaucoup d’entre vous ont entendu parler de skyfire, un navigateur qui convertir les vidéos flash à la volée pour le lire sur iPhone/iPad.
Or, Megavidéo ont bloqué les serveurs de skyfire assez récemment, donc impossible de regarder ces vidéos.

Mais scratiphone a pensé à vous ! ;)
C’est la manière la plus simple que vous pourrez trouver sur le web.

Prérequis

  • iPhone 3GS-4 / iPad en 3.* ou 4.*, jailbreaké
  • Application de lecture vidéo en stream, genre OPlayer HD
  • Les sources de cydia à jour

Pour commencer, il vous faut aller sur Cydia et installer le logiciel iMegavideo dans la version qui convient à votre iOS (3.* ou 4.*)

Ensuite, trouvez un lien megavideo avec safari. Je vous laisse faire ;-)
Sinon, essayez avec ceci :
http://www.megavideo.com/?v=EGMQ83E1
C’est un des meilleurs épisodes de Stargate SG1 !

C’est parti !

Lire la suite

L’application iPod plante ? Un début de solution..

Bonsoir !

Récemment, j’ai rencontré un bug assez agaçant, a savoir mon application iPod qui refusait de se lancer correctement sur mon iPad en 3.2.1.

Apparemment, il semblerait qu’une nouvelle librairie utilisée par certains logiciels de cydia soit bugguée.

Il s’agit de la librairie gremlin, qui est un greffon à mobilesubstrate. Voici comment la désactiver !

Lancez SBSettings, puis dirigez vous dans les options.
Naviguez dans le sous menu « mobilesubstrate addons », et désactivez gremlin. Et voilà ! :D

Attention, cela veut dire que des logiciels utilisant gremlin n auront lus accès a cette librairie, faites donc bien attention si vous les lancez ( je pense notamment à yourtube ).

[Tuto] Corriger le problème de YouTube lent sur iPhone/iPad

[EDIT févr. 2013] Ajout d’une option VPN (payante ou gratuite) fonctionnelle à 100%

Comme sûrement beaucoup d’entre vous, j’ai rencontré des problèmes de lenteur répétées de l’application Youtube sur iPhone et plus particulièrement sur iPad.

Cela se traduisait par une mise en mémoire tampon (buffer) très lente et donc il était nécessaire de mettre la vidéo en pause pendant très longtemps pour la laisser charger complètement.

Vraiment pas pratique en effet ! :(

Heureusement j’ai pensé à vous et vous donne LA solution ! :)
C’est dans la suite ;)

Lire la suite