Thomas (de la chaine Abrège) s'est lancé dans une réparation d'un lot de manettes de GameCube, et j'avoue que j'ignorais totalement ces mods matériels.

Ils consistent au remplacement de certains composants afin d'apporter un temps de réponse plus faible, une meilleure précision et une usure moindre.

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 23/12/2024 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [DIY] Customiser une manette de GameCube (phob) provient de : on Blogmotion.

overfl0w vient de publier une vidéo qui présente TempleOS, un système d'exploitation créé à partir de... rien !

Comme d'habitude je suis extrêmement fan du montage, alors bigup à overfl0w

L'auteur de TempleOS, Terry A. Davis, est décédé en 2018 à l'âge de 48 ans.

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 16/12/2024 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article L’histoire d’un mec qui créé son propre OS provient de : on Blogmotion.

Chris Titus développe WinUtil : un outil en PowerShell qui permet d'installer et supprimer des applications, de nettoyer Windows, mais aussi de réaliser un grand nombre de tâches, de façon centralisée.

Il est écrit en powershell et propose une interface graphique :

Il permet par exemple de retrouver le menu clic droit classique, de définir l'heure en UTC si vous avez un double boot, de supprimer OneDrive, de supprimer des bloatwares, d'installer rapidement dotnet 2/3/4, d'activer un accès avec OpenSSH, de réinitialiser Windows Update, de supprimer Adobe Creative Cloud... pour chaque paramètre il est possible de cliquer sur l'aide pour avoir un descriptif complet de chaque option et des clés de registres impactées.

Il est aussi possible de créer un LiveCD de votre version de Windows depuis l'onglet MicroWin :

J'avoue préférer de loin utiliser un LiveCD comme celui de Sergei Strelec, mais celui-ci aura le mérite d'être parfaitement légal car construit par vos soins.

Comment lancer WinUtil

Pour utiliser le script depuis une invite PowerShell :

irm christitus.com/win | iex

Et voici la présentation complète de l'outil par son auteur :

GitHub du projet WinUtil

Il fera gagner du temps à ceux qui installent des applications sur des machines fraichement installées, et ravira tous ceux qui aiment personnaliser, bidouiller Windows

outil découvert sur reddit

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 12/12/2024 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article WinUtil : un puissant tweaker pour Windows 🚀 provient de : on Blogmotion.

Avec le temps les GPO ou les scripts stockés dans le SYVOL peuvent contenir tout un tas de données sensibles, qui parfois n'ont rien à faire ici.

Florian nous propose un outil gratuit et open source à utiliser en complément d'outils d'audit tels que Ping Castle, Purple Knight, ORADAD, etc.

HardenSysvol (GitHub)

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 20/11/2024 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article HardenSysvol : Auditez vos scripts et GPO AD provient de : on Blogmotion.

Florian d'IT-Connect propose une découverte de Windows Server 2025, mais aussi les nouveautés, ce qui change, les fonctionnalités dépréciées, le modèle de licence, l'installation et l'aperçu du produit :

Et sans surprise, on retrouve la même interface graphique que Windows 11. C'est toujours un peu étrange au début mais on s'y fait toujours, c'était toujours le cas pour les versions précédentes aussi.

Merci Florian pour cette vidéo très complète

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 08/11/2024 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Windows Server 2025 : découverte et installation provient de : on Blogmotion.

Sylvqin vient de nous pondre une vidéo complètement inattendue sur le business des croix de pharmacie, et ne me demandez par pourquoi mais c'est un sujet qui me passionne. Sans le savoir je crois que j'attendais cette vidéo

Déjà parce qu'il y a une enquête sur un marché de niche. Je me suis souvent demandé dans la rue qui crée ces animations de zinzin. Sans parler des TV dans les vitrines avec 1500 lumens dans ta tronche (le voisinage doit apprécier). Mais aussi parce que tous les ingrédients y sont : hack de la croix (au sens noble du terme) et même des créations en pagaille avec du code dispo sur Github.

Inutile donc indispensable !

GG Sylvqin

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 26/10/2024 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Doom tourne sur une croix de pharmacie 🕹️ provient de : on Blogmotion.

C'est en tout cas le défi que s'est lancé V2F. Et je vous le dis tout de suite : cette vidéo est exceptionnelle, mais genre vraiment LA masterclass !

Si vous aimez l'informatique vous allez vous prendre un shoot de compréhension à vitesse grand V

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 22/10/2024 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Recréer Windows 11 en langage C, possible ? provient de : on Blogmotion.

C'est le challenge que s'est lancé Amy : essayer de retrouver d'où a été prise une photo trouvée au hasard, et quand.

Je vous partage la vidéo car, comme toujours, sa démarche est empirique. Et je ne connaissais pas certains des sites utilisés :)

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 08/10/2024 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Comment retrouver le lieu d’une photo inconnue ? 📸 provient de : on Blogmotion.

Les anciens OS tels que Windows 7, Vista, XP, 2003 n'ont plus aucun navigateur web compatible. Mais pourquoi surfer avec un système d'exploitation aussi vieux ?

Et bien cela peut être pour récupérer un fichier, un pilote... des (mauvaises) raisons il y peut y en avoir plein.

Supermium

Supermium est navigateur internet libre et fork de Google Chrome. Il est spécialement développé pour fonctionner avec les vieilles versions de Windows.

Cela fait plusieurs années qu'aucune version de Chrome, Edge, Vivaldi, Opera, Brave ou même Firefox ne fonctionne avec d'anciennes versions de Windows. Et ce n'est pas une mauvaise chose en termes de sécurité, cela évite que des personnes avec des machines obsolètes prennent le risque de surfer sur internet avec.

Il y a déjà les certificats qui posent un problème, mais aussi les suites de chiffrement (cipher suite) et algo de compression, ainsi que les protocoles (TLS, HTTP2, etc).

Mais il y a certains cas bien précis ou cela peut dépanner. Bien sûr, je ne vous encourage pas à ressortir votre vieux Windows XP pour lire vos mails ou faire vos achats hein, qu'on se comprenne bien

Télécharger Supermium

Pensez bien à prendre la version 32 bit car à l'époque Windows XP 64 était très rare (et souvent inutile). Avec XP vous risquez d'avoir du mal à télécharger Supermium car il faut un IE9 minimum, y compris sur le site legacy. Personnellement je l'ai récupéré via FTP comme à la bonne époque (IE6 est compatible FTP).

A noter que le créateur a aussi créé son propre noyau personnalisé pour Windows Vista, qui permet justement de faire tourner des navigateurs normalement destinés à des versions plus récentes de Windows, bref il touche sa bille

A noter qu'un support pour Windows 2000 est en cours.

Télécharger Supermium / code source

source

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 29/09/2024 | 2 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Supermium : surfer en 2024 avec Windows XP ? provient de : on Blogmotion.

Il faut que je vous parle d'une télécommande Bluetooth à moins de 10 € et qui me rend bien des services !

C'est aussi bête que pratique et ça fonctionne avec tous les smartphones et périphériques BT.

Si vous utilisez le bluetooth dans une voiture avec un récépteur BT ce sera aussi parfait pour vous ! Et même avec une moto, une trottinette, un vélo, etc.

Disclaimer : Attention à bien respecter la législation concernant l'appareil utilisé, avoir quelque chose dans les oreilles peut être interdit suivant le véhicule en plus d'être carrément dangereux.

Mon besoin

J'écoute beaucoup de musique depuis mon ordinateur ou mon smartphone vers mon casque Bluetooth. Que je sois chez moi ou au travail.

Je n'aime pas utiliser les boutons de gestion du volume et de changement de morceaux présents sur mon casque. Ils sont tactiles et peu précis. 1 fois sur 2 je fais une mauvaise manipulation...

C'est alors que je me suis mis en tête de trouver une télécommande Bluetooth, principalement pour passer au morceau suivant.

Présentation de la télécommande

Un peu comme une grosse pièce de 2€, la télécommande se présente dans la forme d'un petit boitier de 5 boutons :

• moins de 4 cm de diamètre
• 8,5mm de hauteur
• boutons volume - et +
• bouton piste précédente / suivante
• boutons lecture / pause

La compatibilité est annoncée avec iOS7.0 ou pour Android4.4 + (autant dire avec presque tout!).

Le boitier est livré avec un support sous forme de bague pour le fixer sur un volant de voiture. Libre à vous de l'utiliser ou non (ça n'est pas mon cas).

La télécommande dispose d'une portée d'environ 10m, mais peu importe car je suis toujours à proximité du périphérique à piloter.

L'appairage

Et là vous vous dites : mais on peut appairer un seul périphérique BT, donc comment ça marche ? C'est là que la "magie" opère !

Cette télécommande n'est pas vue comme un casque, mais comme un clavier bluetooth. Donc votre périphérique (smartphone, ordinateur, etc) peut tout à fait accepter cette télécommande en même temps qu'un casque

La télécommande est détectée comme "Smart Remote"

Quand elle n'est pas utilisée, la télécommande passe en veille pour préserver la pile (CR2025).

Conclusion

Ce petit gadget à 6€ rend en fait bien des services car je peux changer de morceau à tout moment hyper rapidement !

Je l'ai également installé dans une ancienne voiture (Prius 3) en complément d'un récepteur Bluetooth.

Finalement le seul défaut du produit est qu'il ne remonte pas l'état de sa pile, mais comme il consomme très peu et pour son tarif je lui pardonne bien volontiers.

Il s'agit d'une découverte perso et spontanée, comme d'habitude je n'ai rien à vendre

Vous la trouverez sur AliExpress en cherchant "Télécommande sans fil pour voiture et moto" (1, 2)

 

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 17/09/2024 | 2 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Une télécommande Bluetooth pour changer de piste ⏯ provient de : on Blogmotion.

Thomas nous raconte la faille qui a été tué dans l'œuf aussi vite qu'elle était arrivée : XZ Utils.

Et il est vrai que le scénario est digne d'un film et qu'on est passé très près d'une grosse crise mondiale (ou une attaque ciblée) dont on aurait pu se souvenir longtemps. Mais est-ce vraiment la seule faille dormante qui a existé ? bien sûr que non. Même le code source ouvert peu laisser passer des portes dérobées.

 

Si l'on a arrive à générer une offre d'emploi avec l'IA, on doit sans doute pouvoir identifier une backdoor non ?!

Merci Thomas (cocadmin)

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 11/09/2024 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [Linux] Retour sur la dangereuse faille LZMA XZ (SSH) provient de : on Blogmotion.

On peut être tenté d'acheter une batterie compatible pour une visseuse, un ordinateur, un smartphone, etc. Si on a l'impression de faire une bonne affaire sur le prix, est-ce que le rapport qualité/prix est vraiment bon ?

C'est la question à laquelle Joffrey répond avec un protocol de test :

Et dans le même temps (ça tombe bien!) Stéphane Marty nous propose une analyse sous l'angle électronique :

En conclusion : est-ce que les fabricants abusent sur les prix desbatteries ? clairement oui. Est-ce que les batteries sont de qualité : aussi ! De mon côté j'ai déjà changé les accus, souvent 18650, en achetant moi-même en direct sur un site fiable. Et je trouve que c'est de loin la meilleure alternative. A condition de savoir ce que l'on fait et de ne pas acheter des accu sous-dimensionnés.

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 06/09/2024 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Les batteries compatibles sont-elles vraiment pourries ? 🔋 provient de : on Blogmotion.

De plus en plus de sites sont situés derrière un WAF, qui permet de filtrer les requêtes malveillantes mais aussi de ne pas exposer un serveur web en direct sur internet. CloudFlare étant le plus connu, mais il en existe bien d'autres.

Problème : il existe quelques méthodes pour ignorer le WAF, souvent à cause de défaut ou d'oubli de configuration. C'est ce que propose Secureaks dans cette vidéo particulièrement bien faite, merci à Romain

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 30/08/2024 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Démo : est-il possible de contourner un WAF ? provient de : on Blogmotion.

Les frères Poulain présentent un produit constitué d'une tablette Android murale qui vient s'installer à la place d'un interrupteur dans un mur.

Grâce à la connexion avec HomeAssistant après un petit hack, il est possible de faire des dashboards personnalisés.

Il s'agit du NS Panel Pro qui coûte une centaine d'euros.

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 17/08/2024 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Une tablette Android comme interrupteur (HA) 💡 provient de : on Blogmotion.

Début 2018 je me suis lancé dans la restauration d'une vieille Playstation 1. Et puis j'ai été confronté un problème que je connaissais déjà : la taille des composants à l'oeil nu.

J'ai cherché des microscopes USB à connecter sur un ordinateur mais j'ai vite abandonné cette idée car beaucoup de monde se plaint de drivers incompatibles avec le 64 bits et Windows 10, et puis cela implique d'avoir un ordinateur à portée quand on bricole... ce n'est pas pratique ni très safe d'avoir un laptop près d'un fer à souder.

Et puis j'ai trouvé un "microscope" avec écran intégré et port microSD, que j'ai commandé sur Amazon pour l'avoir rapidement.

Cet article est issu d'un brouillon de 2017. Je profite de la période estivale 2024 pour le publier, tenez-en compte lors de votre lecture. Le modèle présenté n'existe plus vraiment, il a été remplacé par des modèles plus performants.

Mustool

Tout d'abord le titre de microscope n'est peut-être un peu abusif, car c'est une sorte de loupe numérique avec un excellent grossissement, mais appelons-le microscope pour simplifier la lecture du billet. Le microscope est composé d'un boitier que l'on enclenche sur son pied grâce à des ergots, le tout en plastique noir. Le boitier comporte un écran d'une qualité convenable en dessous duquel on trouve le capteur 3,6 MP et un éclairage de 8 leds blanches. L'intensité de ses led varie grâce à une molette au dos de l'écran.

Le pied se fixe grâce un système identique aux pads en gel fixate couplé à un levier façon ventouse, comme sur certains GPS auto. Ce système est vraiment top, il accroche énormément, à tel point qu'il est difficile de le décrocher quand le pad est tout neuf et sans poussière. Gardez bien le rond blanc qui permet de protéger le pad quand le microscope est dans sa boite, vous remarquerez aussi qu'il y a un sens pour le coller dessus (face vernie contre le pad).

Pour faire la mise au point il faut utiliser la bague en façade. Plus vous êtes proche de l'objet plus elle est sensible mais reste facile à régler.

Côté autonomie, le fabricant annonce 6h d'autonomie mais j'ignore à quel niveau de luminosité de l'éclairage et l'écran LCD. De mon côté j'ai pu l'utiliser au moins 4h d'affilée sans souci avec l'éclairage LED au maximum.

C'est grâce à une présentation du produit par Philippe Demerliac sur sa chaine Cyrob il y a quelques mois que j'ai découvert de produit.

En pratique

Quand j'ai reçu le microscope il était préchargé, j'ai donc approché un objet et là, c'est la grosse surprise. Le grossissement est bluffant, on a l'impression de découvrir un autre monde.

Il n'y qu'à essayer sur un tshirt pour voir tous les fils apparaitre alors qu'ils sont à peine visibles à l'œil nu. Le premier réflexe, c'est d'essayer avec tout et n'importe quoi, mais il faut bien dire que sur les cartes électroniques c'est génial. A l'œil nu je n'arrivais pas à voir l'état des pattes d'une puce Sony sur ma vieille PSX suite à coup de fer à souder un peu violent... et bien avec ce microscope c'est franchement plus facile. J'ai pu supprimer des ponts entre des pattes que je n'aurai jamais pu soupçonner sans.

L'écran est très pratique et je l'utilise comme une loupe. Je soude en regardant directement l'écran sur lequel il est bien plus facile de voir si la soudure est de bonne qualité et que le composant ou le fil est bien emprisonné dans la soudure et pas seulement vulgairement accroché. Quand c'est le cas c'est la meilleure façon d'arracher une pastille quand vous placez une puce dans une console par exemple, c'était mon cas car j'ajoutais une puce MM3 dans ma PSX.

Il faut parfois diminuer ou augmenter l'éclairage LED pour éviter le reflet des leds sur les inscriptions de certaines puces. Ce réglage n'est donc pas du tout un gadget et vraiment utile.

Intermède du flux

J'en ai profité pour acheter du flux de soudure/brasage sous forme de gel en tube : RMA-223.

C'est un mélange de produits chimiques qui permettent d'assurer un bon mouillage de l'alliage d'apport sur les pièces à assembler. L'étain que l'on achète en contient généralement au milieu, et son rôle est essentiel. Il est impossible de voir le travail de ce flux incorporé à l'étain car il s'évapore relativement rapidement et laisse place à l'étain.

Le flux de soudure est obligatoire pour éviter qu'un pont se crée entre 2 pattes d'une puce ou 2 pastilles proches sur un circuit. C'est le cas avec les composants de surface. Quand deux pattes sont liées par un malheureux résidu d'étain il n'est pas possible d'ajouter encore de l'étain pour profiter du flux de soudure, cela ne fera qu'empirer la situation. Il faut mettre uniquement du flux pour que l'étain se répartisse correctement sur chaque patte sans faire de pont.

J'avoue qu'il faut un peu pratiquer pour y arriver et si vous voulez tout savoir là dessus visionnez la vidéo d'Electro-Bidouilleur :

Conclusion

Ce microscope est vraiment une excellente surprise, il remplit parfaitement son rôle. J'étais pressé de l'utiliser et je l'ai acheté sur Amazon pour environ 50 € (reçu en 3j).

Si j'avais pu avoir cette possibilité de zoomer plus tôt, j'aurais probablement évité d'endommager quelques trucs en tentant de les réparer. C'est particulièrement utile sur des cartes mères d'ordinateurs portables, smartphone, tablette, domotique, etc.

En bref, c'est la loupe de l'électronicien en version bien plus moderne. Une fois équipé vous trouverez que tous vos outils sont trop gros sur l'écran et vous chercherez sûrement du matériel de précision de type horlogerie.

J'ai pu remplacer ma loupe avec 3ème main bresser sur laquelle je me pétais les yeux après 10 minutes d'utilisation et c'est que du bonheur. En complément du Stickvize comme 3ᵉ main.

J'ai apprécié :

• bonne qualité de zoom
• possibilité de faire une vidéo
• système de fixation super efficace
• bonne autonomie et connecteur standard

À améliorer :

• la molette de luminosité peu accessible, elle serait mieux à l'avant
• pas de témoin de fin de charge (led reste rouge)
• pas de retardateur pour prendre une photo, le fait d'appuyer sur le bouton de prise de photo suffit pour créer un flou systématique
• bouton de mise au point un peu dur/cheap , un peu de silicone aurait été le bienvenu
• système de pivot trop limité, ça manque clairement de liberté pour éviter de déplacer le pied ou l'objet quand il est relativement volumineux

Quelques années après j'utilise encore toujours ce produit, mais je vous conseille d'en choisir un sur pied pour travailler plus confortablement. Ici il faut toujours faire coller le pied sur une table, pas pratique pour le repositionner.

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 24/07/2024 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Un « microscope » avec LCD pour bricoler de près provient de : on Blogmotion.

Je cherchais un moyen d'énumérer les cipher suite (suites cryptographiques) après avoir configuré un serveur web (Apache).

En effet j'avais des clients qui n'acceptaient que certains type de cipher suite pour dialoguer avec le serveur (un peu tatillons les clients ).

Plusieurs façons existent pour lister les cipher suite, voyons comment

Avec NMAP

C'est possible dans nmap avec le script ssl-enum-ciphers :

nmap -sV --script ssl-enum-ciphers -p 443 blogmotion.fr

Exemple :

PORT STATE SERVICE VERSION
443/tcp open ssl/ssl Apache httpd (SSL-only mode)
| ssl-enum-ciphers:
| TLSv1.2:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (dh 2048) - A
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
| compressors:
| NULL
| cipher preference: server
|_ least strength: A

Tout comme Qualys nmap vous donne une note "least strengh" (ici grade A), bien que les critères ne soient pas identiques.

Avec testssl.sh

J'ai découvert cet outil grâce à @F4FIA qui me l'a recommandé (en 2018) sur twitter en remplacement de cryptcheck.

testssl.sh :

Example :

./testssl.sh -e secure.blogmotion.fr:443

Testing 364 ciphers via OpenSSL plus sockets against the server, ordered by encryption strength

Hexcode Cipher Suite Name (OpenSSL) KeyExch. Encryption Bits Cipher Suite Name (RFC)
-----------------------------------------------------------------------------------------------------------------------------
xc030 ECDHE-RSA-AES256-GCM-SHA384 ECDH 256 AESGCM 256 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
xc028 ECDHE-RSA-AES256-SHA384 ECDH 256 AES 256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
xc014 ECDHE-RSA-AES256-SHA ECDH 256 AES 256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
x9f DHE-RSA-AES256-GCM-SHA384 DH 2048 AESGCM 256 TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
x6b DHE-RSA-AES256-SHA256 DH 2048 AES 256 TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
x39 DHE-RSA-AES256-SHA DH 2048 AES 256 TLS_DHE_RSA_WITH_AES_256_CBC_SHA
xc02f ECDHE-RSA-AES128-GCM-SHA256 ECDH 256 AESGCM 128 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
xc013 ECDHE-RSA-AES128-SHA ECDH 256 AES 128 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
x9e DHE-RSA-AES128-GCM-SHA256 DH 2048 AESGCM 128 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
x33 DHE-RSA-AES128-SHA DH 2048 AES 128 TLS_DHE_RSA_WITH_AES_128_CBC_SHA
x2f AES128-SHA RSA AES 128 TLS_RSA_WITH_AES_128_CBC_SHA

Avec OpenSSL

Vous pouvez aussi utiliser ce script :

for v in ssl3 tls1 tls1_1 tls1_2 tls1_3; do
  for c in $(openssl ciphers 'ALL:eNULL' | tr ':' ' '); do
    openssl s_client -connect google.com:443 -cipher $c -${v} < /dev/null > /dev/null 2>&1 && echo -e "$v:\t$c"
  done
done

Note : SSLv3 ou les protocoles plus anciens ainsi que TLS 1.0 et 1.1 ne doivent plus être utilisés. Utilisez TLS 1.2 minimum.

Compléments

• Correspondances RFC/OpenSSL : 1

L'illustration vient de chez Microsoft

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 21/07/2024 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Comment lister les cipher suite d’un serveur (testssl.sh) provient de : on Blogmotion.

J'utilise Domoticz depuis une dizaine d'années. Globalement satisfait par le produit, il tourne toujours bien sur un Raspberry Pi 2. Depuis quelques années Home Assistant fait de plus en plus parler de lui : un produit open source et disposant d'une grande communauté.

Faut-il migrer de Domoticz vers Home Assistant ? la transition sera-t-elle facile ? Je vous propose de répondre à ces questions aujourd'hui.

Disclaimer

Je précise qu'à l'heure ou j'écris ce post je connais très peu Home Assistant, c'est pourquoi il me semble intéressant de vous partager ma réflexion à ce stade.

Pourquoi abandonner Domoticz

Domoticz est développé en C++ et comme tout logiciel compilé il est plutôt rapide. Pour peu que l'on diffère de six mois l'installation des versions stables on a un produit très stable.

Mais alors pourquoi veux-tu abandonner Domoticz si tu en es content ?

Je vais faire court, mais les raisons sont nombreuses :

• interface vieillissante
• complexité d'appairage selon le protocole utilisé
• communauté diminuant progressivement sur les forums
• pas d'application mobile digne de ce nom
• complexité de personnalisation (icones...)
• aucune interface de conception sérieuse de scénario (blockly a ses limites)
• l'égo et le manque de bienveillance de certains développeurs de plugins, et la guéguerre entre certaines personnes du développement Domoticz / plugins

Pour le dernier point, je vais apporter quelques précisions. Il y a eu une époque où quand j'achetais un périphérique en magasin et qu'il n'était pas compatible, ça se réglait en 1 à 2 jours après avoir contactés les développeurs :  cétait super ! Aujourd'hui les choses ont bien changé et parfois aucune réponse n'est apportée. Je ne blâme absolument pas les développeurs, qui font un travail formidable, mais en tant qu'utilisateur, celui nuit sérieusement à l'expérience utilisateur.

Domoticz est un super produit, encore aujourd'hui. Mais il reste vieillissant et traine un historique et une philosophie de 2012. Il aurait fallu avoir une version vraiment différente à un moment donné, qui crée une vraie rupture avec ce que l'on a toujours connu.

Pourquoi choisir Home Assistant ?

C'est la solution dont tout le monde parle depuis quelques années. Cela veut dire qu'il y a une grosse communauté derrière, que ce soit sur la partie développement ou la partie utilisation.

Comme Domoticz le produit est open source et gratuit, c'est ce que je cherche. Je n'ai jamais accroché avec les plugins payants de Jeedom (bien que je puisse comprendre le modèle économique).

J'ai déjà testé Home Assistant dans une machine virtuelle il y a quelques années et j'ai été impressionné par la découverte automatique de mes périphériques. Je n'ai rien eu à faire et il a découvert mes passerelles, appareils, NAS, etc. Cela m'a donné envie d'aller plus loin.

Et puis j'ai entendu parler de quelques limitations, sur la partie courbe et graph de données. Que HA n'était pas encore à la hauteur de Domoticz sur ce plan. À ce moment, je n'avais pas encore le besoin de changer de produit, mais j'ai gardé ça dans ma tête.

Migrer vers HA, c'est compliqué non ?!

Et nous voilà en 2024 ! Je me retrouve à acheter des périphériques Zigbee que je n'arrive pas à appairer dans Domoticz. J'ai installé HAOS sur une vieille machine économe en énergie à la maison (X86, 10w, 4Go de RAM), pour voir comment le produit a évolué.

En effet : pour ne pas faire de transition brutale et regrettée de Domoticz vers HA j'ai décidé de laisser les 2 vivre leur vie de façon indépendante, quitte à doubler le matériel et dongle Zigbee.

L'installation n'est pas compliquée, mais il y a pas mal de types d'installation possible... et on s'y perd vite quand on ne comprend pas les différences. Je suis parti sur une image que j'ai restaurée sur un SSD SATA, à partir de Linux. C'était peut-être possible de le faire directement depuis Windows avec Balena Etcher mais je n'ai trouvé personne qui explique s'il y a une différence. Contrairement à Domoticz, HA évolue très rapidement. On trouve vite un tutoriel obsolète sur internet, des menus qui n'existent plus... bref !

Avant tout : trouver une clé ZigBee

J'ai profité d'une promotion pour acheter une clé Zigbee Sonoff ZBDongle-E (EFR32MG21) pour moins de 20€. Cette clé sera l'équivalent de ma clé ZiGate connectée à Domoticz. Elle apporte la compatibilité avec Matter et Thread, c'est un bon point pour les futurs périphériques que j’achèterai et qui seront compatibles avec.

C'est aussi possible avec la clé SkyConnect à un tarif un peu plus élevé. L'important est que ces 2 clés soient compatibles avec Zigbee2MQTT (Z2M) car c'est lui qui dialoguera avec nos périphériques et HA. La mienne est précisée comme "expérimentale" mais des retours que j'ai pu voir ça et là, elle marche plutôt bien.

J'ai perdu beaucoup de temps à faire fonctionner correctement cette clé, j'ai demandé de l'aide sur twitter :

https://twitter.com/xhark/status/1759899790937096343

Il s'avère là encore que c'était tout bête, mais il fallait le savoir. Dans HA il existe un modèle historique et natif qui permet de communiquer en Zigbee : ZHA. Après le 1er démarrage ZHA m'a été proposé au travers de la découverte automatique, j'ai peut-être cliqué pour l'activer, je ne m'en souviens plus. Toujours est-il que lorsque j'ai installé mosquitto (le broker MQTT) et Zigbee2MQTT (Z2M) les deux sont rentrés en conflit ! Chacun essayant de dialoguer avec le dongle ZigBee Sonoff

Alors ne faites pas la même erreur : désactivez (ou désinstallez) ZHA avant de vous lancer dans l'aventure Zigbee2MQTT (c'est un plugin). Z2M est compatible avec plus de périphériques que ZHA, c'est pourquoi je l'ai choisi.

MQTT, c'est la vie

Cela fait des années que je voulais tester MQTT sous Domoticz, mais je n'ai jamais pris le temps pour le faire. Et surtout pourquoi faire étant donné que tout fonctionne sans ?!

Et c'est en l'utilisant avec HA que j'ai tout de suite compris son intérêt. MQTT ajoute une couche supplémentaire pour communiquer et exposer des périphériques avec d'autres systèmes. Z2M fait le lien entre un périphérique et Home Assistant (HA) au travers du broker MQTT (mosquitto). Mais il est tout à fait possible d'accéder à ce broker MQTT depuis un autre périphérique... comme Domoticz !

Et oui, Domoticz est nativement compatible avec MQTT, il suffit d'activer le matériel "MQTT Auto Discovery Client Gateway".

Et la magie opère ! Chaque périphérique visible dans Z2M de Home Assistant sera automatiquement créé et visible dans Domoticz ! Et vous pouvez même interagir avec eux et les piloter. C'est pas beau ?!

C'est à ce moment que j'ai compris que je ne ferai pas de migration brutale, je vais tranquillement migrer mes périphériques de l'un vers l'autre, après avoir recréé/porté mes scripts et scénarios Domoticz vers HA. Il faudra juste que je modifie l'ancien périphérique dans Domoticz pour le faire pointer vers le périphérique annoncé par Z2M.

Et là j'ai compris tout l'intérêt de MQTT, enfin 

Bon, il reste un inconvénient : les périphériques qui ne sont pas dans Z2M ne sont pas exposés à Domoticz. Ce sera donc une façon pour moi d'appréhender l'API REST de HA pour faire des retours d'état dans Domoticz sur des périphériques virtuels. Soit en déclarant un périphérique virtuel MQTT dans HA, soit en poussant des état de variables utilisateurs Domoticz depuis HA.

Conclusion

Ce premier article est une façon pour moi de vous informer que je vais probablement publier quelques articles sur Home Assistant et la transition depuis Domoticz.

Je crois que je n'aurai jamais franchi le pas en basculant brutalement vers HA... se retrouver sans plus aucune automatisation du jour au lendemain ce n'était pas concevable.

J'ai donc choisi la méthode douce. Et vous, quel est votre système domotique ? si vous avez migré de Domoticz vers HA votre retour d'expérience m'intéresse.

 

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 17/07/2024 | 11 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Abandonner Domoticz pour Home Assistant ? provient de : on Blogmotion.

Je vous présentais le projet TICMeter il y a quelques mois, qui a remporté un franc succès avec plus de 500 commandes sur les 100 initialement ouvertes.

https://twitter.com/xhark/status/1801626390854283644

Mi-juin je faisais partie des premiers à recevoir le produit et je l'ai installé dans mon tableau électrique, sous le capot de mon compteur Linky.

Retour à chaud

Avant tout, je précise que j'ai acheté le produit comme tous les backers, même si ça ne change rien sur la ligne éditoriale. Je ne vais pas ici faire une review complète, simplement un retour à chaud pour les curieux.

Le produit est plutôt bien fini, livré dans une petite enveloppe craft sans aucun plastique, donc bravo pour l'effort.

Ce module se branche sur les connecteurs I1, I2 et A de votre compteur Linky, que vous soyez en monophasé ou triphasé. Il est compatible avec les compteurs G1 et G3 mais pas avec ceux ayant un port USB en façade (logiquement il en reste très peu en circulation).

Il y a un port USB-C qu'il est possible de brancher quand le TICMeter est connecté sur un Linky monophasé, en triphasé cela semble un peu compliqué car le port est mal placé.

https://twitter.com/xhark/status/1801949741493752122

Précision : j'ai déjà vu certains compteurs Linky avec le capot (vert fluo) plombé. C'est assez rare et ce n'est normalement pas le cas sur la plupart des compteurs. Si le vôtre est plombé, ne le déplombez pas et contactez Enedis pour leur expliquer la problématique.

TIC Mode Historique ou Standard ?

Le TICMeter sait discuter avec la TIC (télé-information client) en mode historique et en mode standard (plus complet). J'ai fait la demande pour passer en mode standard avant la réception du TICMeter. Mon compteur est donc passé en mode Standard... sauf que mon gestionnaire d'énergie Delta Dore n'était pas compatible avec le mode standard.

Facile, me direz-vous : il suffit de demander à repasser en mode historique ? Oui, mais non. Mon compteur Linky communique très mal et cela n'a jamais été possible. Résultat : Enedis est passé pour me changer le compteur et le programmer en mode historique (sur place avec une tablette). En zone dense il n'est pas rare que les perturbations environnantes empêche le CPL de fonctionner correctement.

Tant pis, je me contenterai du mode TIC historique.

Les modes de fonctionnement

Le TICMeter peut fonctionner sous 4 modes :

• Zigbee (Z2M, ZHA, etc)
• MQTT (via WiFi)
• Web (via WiFi)
• Tuya (via WiFi) en option

J'ai testé Zigbee et Tuya avec succès. Pour l'instant, le mode Tuya remonte uniquement la consommation instantanée (toutes les 60 secondes, paramétrable) dans Smart Life.

Le Zigbee fonctionne également avec Zigbee2MQTT dans HomeAssistant. On voit bien les données de comptage dans Z2M. Il y avait un bug dans Z2M qui empêchait de voir les entités dans HA (à cause d'un espace dans le nom des entités) qui a été corrigé début Juillet 2024. Maintenant les infos remontent bien dans HA à travers les entités.

IMPORTANT : Zigbee c'est le seul mode ou le TICMeter doit être relié au compteur Linky pour pouvoir être appairé

En cas de problème

En cas de souci, n'hésitez pas à réinitialiser complètement le TICMeter.

Mise à jour du firmware (via USB-C de préférence !) et un navigateur comme Edge ou Chrome (permettant la connexion COM via USB).

Pensez bien à configurer un réseau WiFi 2.4Ghz uniquement (pas compatible avec 5GHz !).

Quand vous branchez le ticmeter sur le compteur Linky laissez le 2 à 3 minutes le temps que le condensateur se charge, le compteur Linky ne délivrant pas assez d'énergie pour l'alimenter en continu. Le TICMeter se réveille régulièrement chaque minute pour lire la consommation et le condo se recharge le reste du temps. C'est aussi pour ça qu'il continue de clignoter quand il n'est plus relié ni au compteur ni en USB-C.

En mode Zigbee le mode console n'est pas possible, vous verrez les informations défiler mais vous ne pourrez pas agir avec. Ceci est le fonctionnement normal.

J'ai signalé aux développeurs un point sur la sécurité : l'AP WiFi en mode ouvert est un problème de sécurité, étant donné qu'on y saisit justement son SSID et son code WPA qui peut donc être intercepté car tout circule en clair sur le WiFi. L'équipe de TICMeter l'a pris en compte pour une future évolution.

Le mode d'emploi est disponible sur cette page.

Un peu d'indulgence

Quand on achète un produit en financement participatif il faut être tolérant avec le produit. Vous êtes en amont de la commercialisation de masse et la campagne participative permet précisément de finaliser le produit, le tester en conditions réelles, collecter les bugs et les corriger.

C'est accepter de recevoir un produit pas complètement fini, que ce soit logiciel ou matériel. En face vous avez des gens passionnés prêts à vous aider sur leur temps perso, il faut aussi le garder en tête.

C'est accepter que les bugs remontés ne soient pas immédiatement corrigés, il faut prioriser et c'est normal. Ce n'est pas parce qu'un bug vous impacte qu'il impacte tout le monde. Ouvrez une PR sur le Github si vous vous sentez de le faire.

En bref, soutenir un produit dans une campagne participative c'est penser collectif. Je le précise arce que j'ai vu sur le discord TICMeter certaines personnes demander un remboursement, etc. Si votre TICMeter est défectueux prenez contact avec eux, ça peut arriver, ils vous le remplaceront

Mais si vous souhaitez être remboursé parce que le produit n'est pas complètement stable, finalisé ou fonctionnel... ne participez pas à ce genre de campagne

J'en profite pour féliciter les 2 créateurs du TICMeter car réaliser une campagne de financement jusqu'au bout demande de l'énergie, du temps et des compétences. Je suis sûr sur le produit va mûrir et devenir une référence.

Discord de support du TICMeter / site officiel

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 14/07/2024 | 5 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article J’ai reçu et testé mon TICMeter (linky) ⚡ provient de : on Blogmotion.

Je vous partage cette vidéo du Grand JD, c'est la période estivale et elle ne parle absolument pas de tech.

2 raisons à ce partage :

• la qualité du montage, digne d'un reportage Arte
• le Grand JD met la lumière sur Luc : un passionné de fossiles dont la détermination (et un peu de chance) ont fini par récompenser

Vraiment un coup de cœur !

Je suis sûr qu'une cagnotte en ligne serait très vite un succès tellement Luc est habité par ce qu'il fait. Au lieu de donner la légion d'honneur à des personnalités nos politiques feraient mieux de récompenser des personnes qui font rayonner la France de par leurs découvertes

Bigup au Grand JD

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 11/07/2024 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article La meilleure vidéo du Grand JD ? provient de : on Blogmotion.

Viviane de Scilabus revient sur la promesse des batteries, qu'on nous rabâche chaque année. Entre les matériaux, le temps de recharge, l'effet mémoire, la dangerosité... il y a à boire et à manger.

Un petit point sur la situation ne fait pas de mal

Merci Viviane !

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 29/06/2024 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Faut-il espérer une évolution pour les batteries ? 🔋 provient de : on Blogmotion.