FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Aujourd’hui — 26 septembre 2022Blogmotion

Tomato : exporter la configuration NVRAM d’un routeur 🍅

24 septembre 2022 à 08:00
Par : Mr Xhark

Si vous utilisez un routeur avec le firmware open-source Tomato (FreshTomato) alors vous pouvez être amené à exporter la nvram pour sauvegarder la configuration de votre routeur.

Voyons comment faire avec 3 méthodes.

La NVRAM c'est quoi ?

La NVRAM est la partie non volatile de la mémoire des routeurs dans laquelle sont stockés les réglages. Autrement dit les paramètres sont préservés dans cette puce, même après un reboot ou une perte d'alimentation du routeur, à la manière d'une clé USB.

FreshTomato utilise cette zone pour stocker sa configuration sous forme de variables. Tout ce que vous configurez dans l'interface web est alors injecté en variable dans la NVRAM sous forme de fichier en clair (contrairement au fichier d'export de configuration *.cfg qui ne l'est pas).

FreshTomato peut parfois conserver certaines variables NVRAM (paramètres) même après avoir flashé une nouvelle image de firmware sur votre routeur. Il est donc très important d'effacer la NVRAM avant de flasher une nouvelle version plus récente. Cela permet de s'assurer que toutes les variables du micrologiciel existant sont effacées avant le début du flashage.

Si vous oubliez cette étape d'effacement de la NVRAM avant le flashage votre routeur peut se briquer ou fonctionner de façon inattendue. Cela peut paraître fastidieux mais il ne faut JAMAIS ignorer cette étape :

  • les nouvelles variables introduites seront crées : pas de souci
  • les variables modifiées ne le seront pas ➡ problème
  • les variables supprimées resteront ➡ problème

Je vous expliquerai dans un futur post comment faire une montée de version de FreshTomato sans pour autant tout reconfigurer à la main. Il existe une possibilité pour injecter uniquement les paramètres NVRAM qui ont changé entre 2 versions.

1. Sauvegarde via l'interface web

Rendez-vous dans le menu  :

Administration > Debugging (http://tomato/admin-debug.asp)

En bas de page cliquez sur "Download NVRAM Dump" :

Le fichier vous sera directement proposé en téléchargement dans votre navigateur web au format lisible "nvram.txt".

2. Sauvegarde en ligne de commande "nvram save"

Connectez-vous en SSH ou telnet puis exécutez en tant que root :

nvram save backup-nvram.cfg

Un fichier "backup-nvram.cfg" sera alors généré à l'endroit ou vous vous trouvez.

⚠ le fichier de sortie sera binaire et non lisible, il sera nécessaire de le restaurer avec nvram restore xxxxx.cfg

Il est aussi possible de sauvegarder la version lisible avec :

nvram show >backup-nvram.txt

3. Sauvegarde en ligne de commande avec "nvram-export"

Récupérez le contenu du dépôt Git : https://github.com/jon-hedgerows/nvram-export

Une fois le script copié sur votre routeur Tomato exécutez-le :

./nvram-export.sh backup-nvram.sh

Votre sauvegarde sera alors présente dans le fichier backup-nvram.sh qui se présente sous forme d'un script bash. L'intérêt du script est qu'il va créer un fichier exécutable avec les paramètres triés par ordre alphabétique. Il va échapper les caractères posant problèmes

[bonus] Décoder le fichier backup.cfg

Via le menu Administration > Configuration il est possible de sauvegarder la configuration dans un fichier *.cfg. Dans le cas où vous n'avez que ce fichier il peut être utile de le décoder pour récupérer un réglage sans restaurer le fichier (surtout si votre version de Tomato a changé!).

Comme je vous l'ai dit ce fichier n'est pas lisible, mais il est possible de le décoder si votre routeur est équipé d'un processeur ARM (visible dans menu about) grâce à nvram-cfg-parser.

Pour utiliser le script il faudra d'abord installer npm et nodejs sous Linux (ou WSL) :

apt install npm nodejs

Remplacez apt par yum si vous êtes sur une distribution RedHat Like (Alma, Oracle, CentOS, etc).

Enfin pour convertir le fichier :

nvramcfg decode FreshTomato_xxx.cfg > nvram.json

Le fichier de sortie au format json devra être reconverti au fomat cfg si vous souhaitez restaurer dans Tomato :

nvramcfg encode arm nvram.json > nvram.cfg

ℹ A noter l'existence d'un outil graphique wrtsettings qui peut être pratique pour visualiser la configuration. Mais il ne supporte pas les accents : à éviter donc pour modifier directement un fichier cfg.

Conclusion

Et voilà vous avez de quoi sauvegarder votre configuration en exportant la NVRAM très facilement.

Une dernière chose, on voit pas mal de tutoriels sur le net qui parlent de cette commande :

nvram export --set >config.txt

Inutile d'essayer cette commande ne fonctionne plus. J'imagine qu'elle fonctionnait sur d'anciennes versions Tomato et que la syntaxe a changé avec le temps dans busybox.

⚠Attention : le fichier NVRAM contient toute la configuration de votre routeur, incluant les clés WiFi mais aussi identifiant et mot de passe admin, veillez à ne pas laisser ce fichier sur votre PC. Stockez-le en base KeePass sous forme de pièce jointe ou à minima ou sur un emplacement sécurisé (chiffré).

 

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 24/09/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Tomato : exporter la configuration NVRAM d’un routeur 🍅 provient de : on Blogmotion.
À partir d’avant-hierBlogmotion

Home Assistant : coupler un ESP32 en 15 minutes

23 septembre 2022 à 08:00
Par : Mr Xhark

Encore une nouvelle vidéo de Thomas qui me donne envie que d'une chose : migrer sous Home Assistant ! Il nous présente l'interface entre HA et un ESP 32/ Wemos D1 mini et la seule chose que j'ai à dire est que c'est ultra simple et intégré grâce à ESPHome :

Tip top ! Et ça tombe bien car je dois justement utiliser un servo pour appuyer sur un bouton d'un de mes appareils.

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 23/09/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Home Assistant : coupler un ESP32 en 15 minutes provient de : on Blogmotion.

[Active Directory] 3 outils pour auditer vos faiblesses

15 septembre 2022 à 08:00
Par : Mr Xhark

Installer et administrer un annuaire Active Directory (AD) c'est bien, le paramétrer correctement pour éviter que ce soit une passoire c'est mieux.

Même en installant un AD tout neuf il ne sera pas au top en terme de configuration. Il sera nécessaire de donner quelques clics pour le durcir. Entre les versions de protocoles, les réglages trop permissifs, les évolutions... il y a de quoi faire. Mais c'est encore pire si votre AD a un historique de plusieurs années et traversé des montées de versions successives.

Puisqu'il est fastidieux de vérifier tout le paramétrage à la main il existe 2 à 3 outils qui vont réaliser l'audit de votre Active Directory : PingCaste, Purple Knight et Oradad.

PingCastle

PingCastle est un outil français et gratuit développé par Vincent Le Toux et téléchargeable gratuitement. Il ne nécessite aucun droit particulier, un simple utilisateur peut lancer un audit depuis une machine membre du domaine... alors ne pensez pas que les faiblesses de votre AD ne sont visibles qu'aux admins.

Pour voir à quoi ressemble l'outil Florian d'IT-Connect en a fait une démo :

Si l'outil est gratuit certaines fonctionnalités nécessitent d'avoir acheté une licence pour être débloquées dans le compte rendu.

Le point fort de PingCastle : les résultats sont présentés avec des guides de remédiation.

Purple Knight

Le 2ème outil est développé par l'entreprise Semperis : Purple Knight permet d'auditer un AD local ainsi qu'un AD Azure. Il est gratuit dans sa version communautaire.

Prise en main par Florian d'IT-Connect :

Je n'ai jamais utilisé l'outil pour l'instant mais ça peut être un bon complément à PingCastle, mieux vaut prévenir que guérir.

Guides : de prise en main rapide | d'utilisation

Et ORADAD ?

l existe un 3ème outil qui s'appelle ORADAD, développé directement par l'ANSSI mais dont l'utilisation était réservée aux administrations et OIV / OSE.

On trouve maintenant ORADAD sur Github, qui crache un rapport au format MLA (désactivable dans config-oradad.xml en passant "outputFiles" à 1). Mais on trouvera en sortie des fichiers au format texte normalement envoyés à l'ANSSI (via le club SSI) qui envoie en retour un rapport lisible au format HTML.

Pour l'avoir utilisé à 2 reprises dans ma vie d'admin je dois dire que c'est aussi un excellent outil avec un joli rapport bien fourni. Si vous êtes classé OIV/OSE n'hésitez pas.

Conclusion

Si ces outils pouvaient sembler du luxe il y a quelques années il sont aujourd'hui une nécessité. Que ce soit pour votre infrastructure ou celle de clients.

Certains paramètres peuvent vous sembler obscurs et il ne faut pas hésiter à s'appuyer sur le guide AD de l'ANSSI pour débunker certains réglages, et plus globalement je vous invite à prendre connaissance des guides de l'ANSSI. Exemple de recommandation : utilisez le groupe Protected Users.

L'administration et la sécurisation d'un AD en entreprise nécessite aujourd'hui des compétences multiples qui ne peuvent pas être portées par un seule personne / profil. Il est bien dommage que Microsoft n'ait pas su faire évoluer son AD pour faire des recommandations nativement. Maintenant que Microsoft pousse Azure AD, peu de chance que ça arrive...

 

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 15/09/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [Active Directory] 3 outils pour auditer vos faiblesses provient de : on Blogmotion.

Chauffage électrique : lequel est économique ?

13 septembre 2022 à 08:00
Par : Mr Xhark

Kevin vient de faire une vidéo complète sur les économies qu'ils est possible de faire en choisissant son chauffage électrique :

La vidéo est très détaillée et bien réalisée, chapeau encore une fois à Kévin pour le boulot!

Comme il l'explique le confort influence énormément la température de consigne. Il y a donc un lien entre qualité de chauffage et l'économie d'électricité à cause de la façon dont la température se répartie dans la pièce et réchauffe notre corps.

Il y a un point qui n'a pas été abordé par contre c'est le dimensionnement du radiateur par rapport à la taille de la pièce. Est-ce que 2 radiateurs de 500w qui tournent à fond consommeront plus ou moins qu'un radiateur de 2000w à mi-puissance ? J'ai tendance à dire que moins un appareil est sollicité plus il durera longtemps. Mais qui dit puissance plus importante dit prix plus élevé qu'il faudra amortir.

Non sans surprise c'est l'énergie qui n'est pas consommée qui est la moins chère : l'isolation thermique doit donc être revue en priorité pour faire des économies.

En bref, optez pour une bonne garantie 🙂

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 13/09/2022 | Un commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Chauffage électrique : lequel est économique ? provient de : on Blogmotion.

[vidéo] Prise en main et configuration de WSUS

8 septembre 2022 à 08:00
Par : Mr Xhark

La distribution des mises à jour de Windows dans un parc informatique se fait de façon centralisée grâce à un produit Microsoft. Dans les grandes structures c'est généralement MEMCM (aka SCCM / ConfigMgr) mais le plus souvent c'est WSUS (Windows Server Update Services).

La différence entre les 2 produits est que WSUS se focalise uniquement sur la distribution des mises à jours. C'est donc l'objet de cette présentation réalisée par Florian d'IT-Connect :

Et la 2ème partie qui concerne la configuration de l'outil et le déploiement par GPO :

Et la partie 3 sur l'import d'une mise à jour depuis www.catalog.update.microsoft.com :

Mon conseil : évitez à tout prix d'utiliser la base de donnée native WID (Windows Internal Database) car vous aurez tôt ou tard des problèmes lors du nettoyage des mises à jour avec WSUS qui plantera.

La version SQL Express est certes gratuite mais limitée, partez idéalement sur la version SQL Server (sous licence). Il existe d'ailleurs des guides de migration de WID vers SQL Server.

 

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 08/09/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [vidéo] Prise en main et configuration de WSUS provient de : on Blogmotion.

Des tiroirs de casier qui s’ouvrent à la voix 🔊

31 août 2022 à 08:00
Par : Mr Xhark

Thomas nous propose un nouveau projet DIY mêlant impression 3D, électronique et mécanique : des tiroirs de rangement qui s'ouvrent à la voix !

Comme toujours j'apprécie les vidéos de sa chaine Abrège car tout le processus de réflexion y est retranscrit :

C'est toujours très représentatif du processus réel : étapes par étapes, galères après galères. J'ai hâte qu'il nous parle de sa solution pour coupler un assistant vocal à Home Assistant, car ça pourrait me convaincre de l'utiliser à la place de domoticz... ou pas 🙂 Mais ça me serait bien utile pour mes projets de domotiques ça c'est sûr. J'avais déjà regardé et a n'était pas du tout facile d'implémenter ça.

On ne dirait pas comme ça mais réfléchir à de la mécanique avec impression 3D demande énormément de travail et fait appel à de nombreuses compétences : modélisation, contraintes mécaniques, matériaux, durabilité, etc.

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 31/08/2022 | 2 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Des tiroirs de casier qui s’ouvrent à la voix 🔊 provient de : on Blogmotion.

Des vidéos projecteurs pour les prix en magasin 🤦‍♂️

28 août 2022 à 08:00
Par : Mr Xhark

En faisait quelques courses dans un magasin Grand Frais, mon attention est attiré par un curieux bac avec de prix lumineux. Je m'approche et m'aperçois qu'il s'agit de prix vidéo-projetés :

À Grand Frais y'a un rayon avec des prix dynamiques... Une caméra lit le qrcode et un vidéoprojecteur projette son prix (j'ai masqué le qrcode et le prix disparaît).
Au delà de l'excessive consommation électrique des projo, quel intérêt pour le client? pic.twitter.com/uH9D7wRZnX

— 𝕩ɦΛƦҠ (@xhark) August 25, 2022

Au dessus de chaque bac il y a 5 caméras et autant de vidéo projecteurs (led ?).

Le qrcode est lu puis la caméra affiche le prix en conséquence. Dès que l'on masque le qrcode le prix disparaît.

Vous pouvez suivre les réponses twitter pour nos échanges à ce sujet mais ce qui remonte :

  • débauche d'énergie (un projecteur consomme beaucoup) pour pas grand chose
  • aucun intérêt pour le consommateur (une étiqueteuse portable revient au même)
  • question autour de la légalité car le prix peut changer entre le moment en rayon et la caisse
  • fiabilité du truc (si j'affiche un qrcode avec mon tel ?) voir EICAR 😁 :
  • on doit imprimer un code barre donc autant imprimer le prix

Sur les photos c'est pas très lisible mais c'était plus lumineux en magasin, même sur blanc sur blanc c'est très mal choisi !

Ce système est probablement utilisé pour les dates courtes dont le prix baisse... cela économise un employé qui passe ré-étiqueter. Mais ce n'est absolument pas généralisable en magasin. Il vaudrait mieux utiliser des étiquettes e-ink pour indiquer le prix au kg. Le poids étant déjà imprimé sur l'étiquette car il ne change pas.

Merci au podcast Les Technos d'avoir relayé l'info 😎 :

Et pour répondre à la question : "xhark" se prononce "x-arc" 😄

En bref

La techno est surprenante et fait l'effet whaou pour les plus geeks d'entre-nous. Mais elle n'apporte pas grand chose au détriment d'une consommation excessive et d'un matériel très coûteux. Sans parler de la calibration entre la caméra et le vidéo projecteur qui doit être assez fastidieuse.

Certains y voient un moyen d'ajuster le prix en fonction de vos revenus, ahah :

Ça serait marrant que ça soit la taxe qui soit ajustée en fonction du revenu du client ^^

— Asenar (@asenar) August 26, 2022

Un petit complément chez Furtek sur les étiquettes e-ink.

Sur la structure du qrcode une piste également :

D'ailleurs, en speed :
les trois derniers digits indiquent le poids en gramme
a partir du 5ieme ça semble être la ref produit

Bref, y'a moyen de les faire tourner en bourrique...

— Tok-Ra (@TokRa14) August 26, 2022

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 28/08/2022 | 2 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Des vidéos projecteurs pour les prix en magasin 🤦‍♂️ provient de : on Blogmotion.

[vidéo] Agrandir un disque LVM à chaud (encore!)

27 août 2022 à 08:00
Par : Mr Xhark

Adrien nous propose une nouvelle vidéo au sujet de LVM, cette fois-ci plus concise que la première qui expliquait comment agrandir étendre un disque LVM à chaud.

C'est vrai que depuis que j'utilise cfdisk (au lieu de fdisk) c'est quand même beaucoup plus clair. Déjà que le principe des poupées russes de LVM peut vous embrouiller, si on peut utiliser un utilitaire natif pour avoir une vue plus sympa je dis oui.

Merci Adrien pour ce petit rappel qui va droit à l'essentiel.

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 27/08/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [vidéo] Agrandir un disque LVM à chaud (encore!) provient de : on Blogmotion.

[vidéo] Ouverture d’une boite noire Airbus ✈

23 août 2022 à 08:00
Par : Mr Xhark

Stéphane s'attaque à du sérieux : une véritable boite noire avionique analogique. Et comme d'habitude on se délecte de cette analyse :

Il faut dire qu'il y a tellement de mythes autour de ses boites qu'un peu de précision ne fera de mal à personne 🙂

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 23/08/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [vidéo] Ouverture d’une boite noire Airbus ✈ provient de : on Blogmotion.

Compiler son propre firmware #flipperzero

18 août 2022 à 17:57
Par : Mr Xhark

Cela fait quelques jours que vous jouez avec votre flipper zéro, mais vous aimeriez bien compiler votre propre firmware au format DFU (alternatif ou officiel) ?

Soit parce que vous avez des choses à modifier à l'intérieur des fichiers sources en langage C (je te vois venir avec les fréquences, mais attention à rester dans la légalité!) soit pour vous lancer un petit défi 🙂

Je vous propose la version rapide en 6 étapes ou une vidéo YouTube en français pour compiler votre firmware flipper zero.

How-to rapide

  1. git clone --recursive https://github.com/flipperdevices/flipperzero-firmware.git
  2. cd flipperzero-firmware
  3. Lancer ./fbt pour configurer la chaîne d'outils et compiler le firmware
  4. Connectez votre flipper à votre ordinateur en USB et lancer qFlipper
  5. Une fois connecté, choisir "Install from file" et choisir le fichier flipper-xxxxxxx.dfu
  6. Cliquer sur install et patienter jusqu'à la fin du processus

How-to vidéo

La chaine Gelules a publié une vidéo abordant justement ce sujet :

La vidéo est un peu longue car quelques petits soucis de VM, mais vous êtes grands pour avancer dans la lecture ^^ Évitez de réaliser ces actions depuis une VM, ça fonctionne bien avec Linux et Windows sur une machine réelle.

Inutile de sortir l'artillerie lourde de docker... enfin sauf si vous aimez ça mais ça n'est nullement un pré-requis.

 

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 18/08/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Compiler son propre firmware #flipperzero provient de : on Blogmotion.

[vidéo] Dissection d’une batterie au lithium (vapoteuse)

8 août 2022 à 14:40
Par : Mr Xhark

Stéphane Marty nous propose l'analyse d'un produit jetable qui ne devrait pas exister : une cigarette électronique jetable 😣

En fin de vidéo il décortique une batterie au lithium, et comme moi vous risquez d'être surpris de la composition :

Si je connaissais le principe de fonctionnement d'une batterie, j'imaginais sans doute qu'on y trouve plus de liquide à l'intérieur ^^

Tout comme Stéphane je pense que ces produits devraient être interdits à la vente, on continue de puiser de lithium pour une batterie qui ne fonctionnera qu'une seule fois avant d'être jetée, un non sens écologique total 😡

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 08/08/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [vidéo] Dissection d’une batterie au lithium (vapoteuse) provient de : on Blogmotion.

Mon Flipper Zero est arrivé ! 🐬 (mon avis)

28 juillet 2022 à 08:00
Par : Mr Xhark

Je partage aujourd'hui avec vous une très bonne nouvelle puisque mon flipper zéro est arrivéééééééé 🎉 (sans se presser).

Cette histoire commençait par une déception puisque je ratait la campagne de financement participative du projet Flipper Zero à 2 jours près :

J'ai raté ce projet kickstater, so sad! https://t.co/PqWyIPfGOx @flipper_zero 😢

— 𝕩ɦΛƦҠ (@xhark) August 31, 2020

et puis après avoir patiemment attendu j'avais pu passé une précommande fin 2021 :

C'est commandé @flipper_zero !
ça pique un peu entre le port, taxe, etc... heureusement que le voucher offre 50$ de réduction! pic.twitter.com/tN5cSEPYWU

— 𝕩ɦΛƦҠ (@xhark) December 20, 2021

L'expédition s'est faite le 29 juin et il aura encore fallu attendre 1 mois pour qu'il débarque dans ma boite aux lettres.

Déballage et 1er ressenti

Le produit est super bien fini, plastique de qualité, franchement pas déçu, tout est très propre :

Le sticker "hack the planet" au déballage 🤣pic.twitter.com/7bUe4nXXjQ

— 𝕩ɦΛƦҠ (@xhark) July 26, 2022

La bestiole est plus épaisse que ce que je pensais (2,5cm), comme un gros couteau suisse. Il fait 100 grammes pour une taille de 10 x 4cm. Je n'avais pas commandé la protection silicone, 15€ je trouvais ça un peu abusif mais je le regrette un peu vu le prix du produit ce serait dommage qu'il s'abime 🙂 Ceux qui ont une imprimante 3D pourront l'imprimer en fil souple.

Chaque flipper zéro dispose d'un petit nom dérivé de pokemon généré par une IA, que le possesseur découvre lors du 1er démarrage (nom unique injecté en usine, modifiable si bidouille du code). Ce nom fait office de numéro de série, il est inscrit dans une mémoire OTP (écrite une seule fois). Le mien est arrivé chargé à 100%, parfait pour faire connaissance avec la bêbête. Je dis connaissance parce que ça se rapproche des tamagotchis de l'époque. Notre petit flipper numérique s'anime sur son écran 1.4 pouce d'une résolution de 128x64 pixels, avec des niveaux.

Côté batterie la capacité est de 2000mAh avec une autonomie annoncée de 7 jours.

Mon flipper est blanc mais ceux qui ont participé au projet sur kickstarter le plus tôt l'ont reçu en noir, classe!

Une notice rapide permet de comprendre comment allumer flipper ! C'est joli, propre et didactique. C'est un peu ce qui caractérise ce projet : tout est très parfaitement accessible avec des menus simples et de jolis graphismes.

▶Avant tout lire ceci pour commencer

Insérer une carte microSD

Pour que le flipper fonctionne il est nécessaire d'insérer une carte microSD, j'ai opté pour une 16G. Ne mettez pas une carte cheap car l'expérience risque d'être désastreuse... Je vous conseille de formater la carte depuis l'interface de Flipper.

▶Structure de la carte SD

qFlipper

qFlipper est l'application multi plateforme qui permet de mettre à jour flipper, c'est la première chose à faire avant de se faire une idée du produit.

Là encore tout se fait en quelques clics, tout fonctionne, aucun driver à installer (Windows dans mon cas) en USB-C :

Je vous conseille de choisir le canal de firmware RC-Candidate afin de profiter des nouvelles fonctionnalités plus rapidement (sans avoir trop de bugs comme ça peut être le cas du canal dev).

La bascule d'un canal à un autre se fait directement dans qFlipper et 2 clics.

C'est grâce au firmware RC que j'ai notamment eu accès à la possibilité d'ajouter des clés A/B Mifare Classic :

J'ai pu ajouter mes clés perso (A/B) mifare classic et le dump contient bien les secteurs. Mais l'émulation se cantonne d'envoyer l'UID. Je ne sais pas s'il existe un firmware plus abouti sur ce point? (je suis en RC officiel) #flipperzero pic.twitter.com/y4sqIAjmmv

— 𝕩ɦΛƦҠ (@xhark) July 27, 2022

Sans cela la lecture d'un badge est extrêmement fastidieuse car Flipper utilise le fichier mf_classic_dict.nfc qui contient 1241 clés... et lorsqu'une clé fonctionne sur un secteur il ne reteste pas le secteur suivant avec cette même clé. Tester la totalité des clés sur chaque secteur demande plus de 10 minutes de dump.

La solution : créer ce fichier SD card/nfc/assets/mf_classic_dict_user.nfc, exemple :

# Standard Keys
FFFFFFFFFFFF
A0A1A2A3A4A5
D3F7D3F7D3F7
000000000000

Ainsi ces clés seront testées en priorité sur la liste natives des 1241 clés, le dump prendra alors seulement quelques secondes (si vous connaissez la clé du tag à dumper!).

J'ai pu ajouter mes clés perso (A/B) mifare classic et le dump contient bien les secteurs. Mais l'émulation se cantonne d'envoyer l'UID. Je ne sais pas s'il existe un firmware plus abouti sur ce point? (je suis en RC officiel) #flipperzero pic.twitter.com/y4sqIAjmmv

— 𝕩ɦΛƦҠ (@xhark) July 27, 2022

Application Mobile

Il existe une application Android (et iOS) qui permet également de piloter le Flipper à distance grâce au bluetooth. Là encore je souligne l'effort réalisé sur l'interface, très propre et fonctionnel, sont forts les gars !

▶Flipper Mobile App

On peut explorer la carte microSD ou la mémoire interne, avoir des infos sur Flipper, etc. Mais aussi piloter flipper à distance (avec retour d'écran) ou le faire sonner, vibrer et clignoter grâce au BT si vous l'avez perdu, pratique !

Quelques essais

Le produit est tout récent, il va évoluer et tout ne fonctionne pas encore comme prévu.

C'est le cas de l'émulation d'un tag mifare Classic : seul l'UID du secteur est émulé, pas les données des autres secteurs. Ce qui veut dire que ça peut fonctionner avec un système qui se base sur l'ID d'une carte mais absolument pas avec un badge Vigik car d'autres secteurs sont lus en plus de l'ID:

Do you fully read the card? All sectors? How do you run emulation? Why do you think it only emulate UID?

— Flipper Zero (@flipper_zero) July 27, 2022

Eteindre toutes les TV (mode tv-b-gone), ça fonctionne parfaitement bien ! De quoi retrouver un peu de sérénité dans un espace avec trop de TV :

Yes nativement 😇pic.twitter.com/Zpx9YwlNUa

— 𝕩ɦΛƦҠ (@xhark) July 27, 2022

Je ne suis pas responsable si cela vous cause des ennuis !

Ouvrir une porte avec un badge NFC

J'ai pu testé avec succès l'ouverture d'une porte qui ne lisait que l'UID d'un badge d'accès, ça marche !

Comme je le disais plus haut : vigik KO (logique car bug firmware) :

https://t.co/cuamGdG14E

— 𝕩ɦΛƦҠ (@xhark) July 27, 2022

Ouvrir une barrière / porte de garage

Ayant une barrière en copropriété qui ne dispose pas de code tournant (rolling code) j'ai voulu testé de l'ouvrir avec Flipper. Je sais que le code est fixe car j'ai déjà une télécommande commandée sur Aliexpress à 6€ qui m'a permis de cloner la télécommande originale qui partait en lambeaux (marque V2).

Et là patatra ça ne marche pas 🙁 j'ai beau essayé toutes les modulations ça ne capte pas le signal. Sauf qu'il existe un mode de capture brute "raw" et cette fois-ci : bingo ça s'ouvre ! yeah !

Ouvrir votre voiture (déconseillé)

Je vous déconseille fortement de tester, parce que vous risquez de désynchroniser votre voiture de sa clé en cas de code tournant... et payer une blinde en concession pour resynchroniser ça.

Hackintux en parle à la fin de sa vidéo review et je suis totalement en phase avec ce qu'il dit :

Pour ceux qui se demandent comment ça fonctionne avec 2 clés c'est simple :

  • seule la 1ère clé ouvre à distance (il faut insérer l'autre pour que le transpondeur débloque l'accèsà
  • les 2 clés ouvrent à distance, la voiture a 2 mémoires avec chacun son code tournant

L'ouverture de la trappe de charge des véhicules Tesla, inutile donc indispensable? Cela fonctionne à condition de posséder le(s) dump(s). Cela fonctionne car c'est le même code qui est envoyé à chaque Tesla depuis le pistolet de charge. La voiture le reconnait et ouvre la trappe. Je n'ai pas essayé mais j'ai peu de doute là-dessus vu le nombre de vidéos sur les réseaux...

L'analyseur de fréquence

Une de mes fonctions préférées. L'analyseur de fréquence permet de savoir quelle est la fréquence utilisée dès qu'on appuie sur une télécommande / badge sans fil. Très instructif, je vois passer mes sondes de température sans fil lorsque je suis à proximité notamment.

Cela permet de rapidement connaître la fréquence de fonctionnement de n'importe quel appareil électronique qui émet. A condition d'être dans la plage de détection du flipper :

R01: 433.05-434.79; 868.15-868.55

R02: 304.10-321.95; 433.05-434.79; 915.00-928.00

R03: 312.00-315.25; 920.50-923.50

Livré vers les pays :

R01: EU, UK, RU, UA, BY, BA, PF, VA, IS, KZ, LI, MD, MK, NO, RS, CH, TR

R02: US, CA, AU, NZ, MX, BR, CL, AR, UM

R03: reste du monde

et tout le reste...

... que je n'ai pas pu tester. Il y a les ports GPIO mais je n'ai pas acheté le kit, le iButton qui à ma connaissance n'existe pas (ou peu ?) en france.

Pour la partie BadUSB qui fonctionne comme un RubberDucky, cela fonctionne bien. Sauf que l'injection se fait en clavier qwerty. Je pense que cela fera partie des évolutions mais pour l'instant il existe un contournement :

Testé fonctionnel avec ce repo : https://t.co/czPR9jHSsf
Il faut donc, dl le firmware officiel, modifier le fichier, build le firmware et le flash, et ca fonctionne 😀

— Libereau (@Libereau_) July 27, 2022

Firmware alternatifs

Comme le code source de flipper est ouvert, il existe d'autres firmwares alternatifs à celui compilé par les concepteurs.

Pour comprendre pourquoi choisir l'un ou l'autre ▶comparatif des firmares

⚠ si le firmware d'origine est légal ça n'est pas forcément le cas des firmwares alternatifs, notamment car certains débrident les fréquences autorisées. Pour ma part je reste sur le firmware original (en canal RC).

La page incroyable

Si vous cherchez des infos, astuces, tutoriels sur le flipper zéro je vous conseille :

▶ awesome flipper zero (github)

▶la documentation officielle

▶discord officiel

▶wiki (non officiel)

Vous y trouverez des musiques midi (car flipper joue de la musique, vibre...), et de nombreuses actu.

En conclusion

Je ne regrette absolument pas cet achat, le produit tient ses promesses et je suis sûr qu'avec tous les retours clients qui sont en cours qu'il évoluera dans le bon sens.

Si le produit vous intéresse il est encore possible de le commander avec une expédition prévue en Août 2022.

Je vous tiendrai au courant de l'évolution du produit si cela mérite un article, et puis je n'ai pas tout exploré !

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 28/07/2022 | Un commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Mon Flipper Zero est arrivé ! 🐬 (mon avis) provient de : on Blogmotion.

Retour sur le hack de la PSP « pandora battery »

24 juillet 2022 à 08:00
Par : Mr Xhark

La PSP est une console que j'ai beaucoup aimé, parce qu'elle avait un grand écran et qu'on pouvait la trimballer partout. En plus, on pouvait y installer tout un tas de hombrews, notamment pour jouer aux jeux depuis la carte mémoire (Memory Stick) au lieu du disque, les chargements étaient rapides et la batterie durait plus longtemps.

Et justement, c'est la batterie qui a rendu possible le fameux hack de la PSP :

Non seulement il était possible de hack une PSP mais également de débrické les PSP bloquées par SONY grâce au kit "despertar del cementerio".

Une fois la PSP hackée il était même possible de créer sa propre batterie pandora, sinon on en trouvait à l'achat sur eBay notamment. Ces batteries ne durait en revanche pas bien longtemps, pour être vendues le moins cher possible.

Que de bons souvenirs ! C'est la PSP 2000 (Slim&Lite) que j'avais acheté... à la fnac. J'adorai tous les homebrews pour jouer aux jeux retro ou encore lancer un serveur FTP pour y copier des jeux sans câble... la belle époque ! J'ai tout gardé en souvenir (à part la batterie Sony qui avait gonflée).

Encore bravo à Sakharu d'avoir retracé tout ça dans une vidéo très complète.

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 24/07/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Retour sur le hack de la PSP « pandora battery » provient de : on Blogmotion.

Comment lire une carte bancaire en USB +conseils 👈

4 juillet 2022 à 08:00
Par : Mr Xhark

Je vous ai déjà parlé des différents types de cartes et badges sans contact NFC, aujourd'hui PT s'est posé la question de la lecture de la puce d'une CB.

Et l'on peut dire que ça n'a rien de rassurant lorsque l'on connait l'existence des "yes card" :

Mes recommandations pour utiliser le paiement sans contact

  1. ne laissez jamais votre carte bancaire au commerçant, c'est à vous de poser la carte sur le TPE
  2. vérifiez qu'il s'agisse bien d'une TPE et non d'un boitier étrange imprimé en 3D
  3. vérifiez le montant avant de poser la carte sur le TPE
  4. vérifiez le montant débité sur le ticket (et exigez le ticket)
  5. en l'absence de ticket vérifiez dans votre application bancaire (c'est instantané dans de nombreuses banques en ligne)
  6. enfin vérifiez régulièrement vos relevés de compte pour identifier des paiements sans contact malveillants

Empêchez la lecture de votre carte dans les transports en commun / rue, 2 solutions :

  • acheter un porte carte qui bloque les ondes (couche aluminium)
  • acheter une carte de brouillage NFC qui va envoyer plusieurs identifiants factices et brouillera donc la lecture de votre vraie CB (on en trouve des moins cher sur AliExpress)

De mon côté j'ai activé le NFC sur une seule de mes cartes, cela limite la casse en cas de vol de données.

Récemment Undersore_ parlait également d'une arnaque sur un distributeur en gare SNCF, aussi surprenant que ce soit n'importe qui peut commander un boitier de facturation sans contact :

Aussi surprenant que ce soit TiboInShape avait fait une vidéo de sensibilisation :

Cela ne fait pas partie des personnes que je suis sur YouTube mais vous pouvez envoyez sa vidéo à des personnes pas forcément à l'aise avec l'IT pour les sensibiliser (je n'ai pas vu bullshit dedans).

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 04/07/2022 | 2 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Comment lire une carte bancaire en USB +conseils 👈 provient de : on Blogmotion.

[vidéo] Retour sur l’épopée française Prizee 🎁

1 juillet 2022 à 23:13
Par : Mr Xhark

Vous souvenez-vous de Prizee ? Une startup française qui proposait des jeux flash sur internet... et qui a terminé comme flash.

Une superbe enquête chez Sylvqin, franchement pas vu passé le temps en la visionnant. Avec l'interview de Tristan Colombet le créateur de Prizee qui depuis a misé sur la blockchain.

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 01/07/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [vidéo] Retour sur l’épopée française Prizee 🎁 provient de : on Blogmotion.

[vidéo] Envoyer des emails dynamiques avec ⚡AMP Email

21 juin 2022 à 08:00
Par : Mr Xhark

J'ai découvert que l'on pouvait envoyer des emails dynamiques : réaliser une action sans quitter le webmail. Si l'expérience est plutôt une évolution logique de l'email elle a pourtant du mal à s'imposer.

Je vous recommande chaudement de voir cette présentation réalisée lors du devoxx 2022 :

Pire, Outlook l'a abandonné ! Alors même qu'il avait ajouté le support de l'email dynamique.

Cela peut poser des problèmes juridiques étant donné qu'un email peut constituer une trace légale : si son contenu peut changer à tout moment cela devient problématique. Heureusement la partie sécurité est présente et évite les cas (les plus évidents) de détournement.

L'application est déployé sur cette URL : https://amp.patou.dev/ (GitHub)

Les slides sont disponible ici : https://amp.patou.dev/slides

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 21/06/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [vidéo] Envoyer des emails dynamiques avec ⚡AMP Email provient de : on Blogmotion.

▶ Grenoble Coucou Paris (accès à distance)

8 juin 2022 à 21:40
Par : Mr Xhark

grenoble coucou paris

 

 

 

▶ ACCES A DISTANCE FAMILIAL VIA TEAMVIEWER ⭐

Pourquoi cette page ? cette page existe uniquement pour faciliter le téléchargement de teamviewer en cherchant "grenoble coucou paris" dans Google. Guidez la personne pour qu'elle clique sur le gros bouton, puis lancer le fichier sauvegardé. Cliquer ensuite sur oui (UAC) puis cocher "j'accepte le CLUF et le DPA" > continuer

J'en avais marre de perdre du temps à guider des personnes à aller sur le site de teamviewer qui change tout le temps. Si tes grands parents ont internet, toi aussi tu vas gagner du temps 🙂

Vous pouvez également communiquer le lien rapide suivant par email à la personne chez qui vous souhaitez prendre la main : https://blogmotion.fr/tv

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 08/06/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article ▶ Grenoble Coucou Paris (accès à distance) provient de : on Blogmotion.

Impossible de supprimer un fichier/dossier ouvert

7 juin 2022 à 08:00
Par : Mr Xhark

Lors de la suppression d'un fichier ou d'un dossier il peut arriver que le système vous refuse de supprimer ce que vous souhaitez. C'est tout à fait normal si un processus accède au contenu que vous souhaitez de supprimer, l'accès est alors verrouillé :

"Cette action ne peut pas être réalisée car le fichier est ouvert dans un autre programme. Fermez le fichier et réessayez."

Je vous propose 2 solutions pour ce problème Windows.

Identifier le processus

L'excellent Unlocker n'est malheureusement plus mis à jour par son auteur depuis 2013.

2 solutions à cela :

  • le moniteur de ressources (perfmon)
  • Lockhunter : l'alternative à Unlocker

Moniteur de ressources natif de Windows

Depuis le menu démarrer chercher : resmon puis ENTREE.

Aller dans l'onglet processeur puis section "descripteurs associés" puis cherchez le nom du fichier ou dossier bloqué puis valider avec ENTREE.

Patientez quelques instants et Windows vous dira la cause du blocage :

Il ne vous reste plus qu'à tuer le processus concerné.

Cette solution est plutôt adaptée à un environnement de production car elle ne nécessite pas d'installer d'outil tiers. Une méthode trop souvent méconnue.

Lockhunter (freeware)

Lockhunter est un utilitaire gratuit développé par une société Russe depuis 2007 qui développe aussi USB Safely Remove (article). L'outil s'installe et propose un menu éponyme lors du clic droit sur un fichier, dossier ou programme.

Lockhunter permet de libérer un fichier/dossier avec le choix de tuer ou non le processus associé. Il va donc un peu plus loin que perfmon.

Conclusion

Et voilà : la fin du calvaire pour renommer / supprimer / déplacer des fichiers ouverts par un utilisateur, programme ou plus globalement un processus.

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 07/06/2022 | 4 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Impossible de supprimer un fichier/dossier ouvert provient de : on Blogmotion.

[PowerShell] Joindre un domaine AD dans une OU précise

2 juin 2022 à 08:00
Par : Mr Xhark

S'il est possible de rejoindre un domaine Active Directory depuis le panneau "win+R > systempropertiescomputername" il est possible de le faire en PowerShell.

2 avantages à cela :

  • l'ordinateur arrive directement dans la bonne OU
  • réalisable sur Windows Server version Core

Récupérer le DN de l'OU cible

Avant tout il faut connaître le chemin de l'OU de destination.

C'est le container dans lequel le compte ordinateur de la machine qui va rejoindre le domaine va arriver. On parle alors de DN (distinguished name), c'est un chemin dans l'arborescence de l'annuaire LDAP.

Pour le trouver, depuis votre contrôleur de domaine :

  • lancer dsa.msc (utilisateurs et ordinateurs AD)
  • menu Affichage > Fonctionnalités avancées
  • Localiser l'OU cible puis clic droit > propriétés
  • onglet "éditeur d'attributs"
  • cliquer sur distinguishedName > afficher
  • copier la valeur (ctrl+c)

Si vous utilisez Hyena vous trouverez également l'info facilement.

Rejoindre le domaine en PowerShell

Lancer une invite PowerShell en tant qu'administrateur puis :

Add-Computer -DomainName "bm.lab" -OUPath "OU=SRV-PROD,DC=BM,DC=LAB"
  • -DomainName = nom FQDN de votre domaine AD
  • -OUPath = DN de l'OU récupérée à l'étape précédente

Une popup apparaît ensuite vous demandant les identifiants d'un compte autorisé à rejoindre le domaine (administrateur ou autre).

Si la jointure a fonctionné le message suivant apparaît :

AVERTISSEMENT : Les modifications seront prises en compte après le redémarrage de l'ordinateur CLIENT-2016.

Il ne reste plus qu'à redémarrer la machine: restart-computer

Pour enfin pouvoir vous connecter avec un compte de domaine.

A partir de Windows Server 2012 vous pouvez ajouter le switch "-restart" pour enchainer le reboot immédiat après la jointure :

Add-Computer -DomainName "bm.lab" -OUPath "OU=SRV-PROD,DC=BM,DC=LAB" -restart

En cas de problème ajoutez le switch "-verbose" pour avoir plus de détails sur les potentielles erreurs.

Joindre le domaine sans saisir le mot de passe

Pour ne pas avoir à saisir de mot de passe (à éviter en environnement de production - lien) :

$login= "bm\administrateur"
$mdp= "MonSuperPassword" | ConvertTo-SecureString -AsPlainText -Force
$cred= New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $login,$mdp
Add-Computer -DomainName "bm.lab" -DomainCredential $cred -Restart -Verbose

Attention : votre mot de passe sera stocké en clair et ce sera d'autant plus problématique s'il s'agit d'un compte avec des droits étendus tel que le compte admin du domaine.

Quitter le domaine (revenir en workgroup)

Pour quitter le domaine et repasser en WORKGROUP :

Add-Computer -WorkgroupName WORKGROUP -restart

Conclusion

Vous savez maintenant comment facilement rejoindre ou quitter un domaine AD, sans avoir à déplacer le compte ordinateur.

Sachez aussi que l'utilitaire sconfig est particulièrement utile pour faire la même chose, mais il faudra déplacement manuellement le compte ordinateur après la jointure.

Si tous vos comptes ordinateurs arrivent au même endroit vous pouvez changer le chemin de l'OU de destination avec redicmp. C'est une question d'organisation, à vous de voir 😉

 

 

 

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 02/06/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [PowerShell] Joindre un domaine AD dans une OU précise provient de : on Blogmotion.
❌