Vous vous souvenez quand Google avait pour devise “Don’t Be Evil” ?

Hé bien, ils ont tellement bafoué sur leurs valeurs qu’un hacker vient de sortir un firmware appelé “No Longer Evil” pour ressusciter les thermostats Nest que Google vient également d’assassiner froidement.

En effet, le 25 octobre dernier, Google a coupé le support technique de ses thermostats Nest Gen 1 et Gen 2. Plus d’app, plus de contrôle à distance et plus d’intégrations smart home… Les thermostats continuent de chauffer selon les presets enregistrés, mais tout le reste est mort. Du coup, Google vous propose gentiment d’upgrader vers la Gen 4 à 149,99 dollars au lieu de 279 euros… Presque 50% de réduc, comme c’est généreux !

Cody Kociemba , le développeur derrière le projet collaboratif Hack/House, a décidé que non et c’est pour cela qu’il a lancé NoLongerEvil , un firmware custom qui redonne vie aux Gen 1 et 2.

Ce firmware modifié intercepte la couche de communication du thermostat comme ça, au lieu de parler aux serveurs Google, il redirige tout le trafic vers un serveur qui héberge une réplique de l’API Nest, développée par reverse engineering. Votre thermostat croit donc toujours qu’il cause avec Google, mais en réalité il parle à nolongerevil.com . Et vous, vous retrouvez le contrôle à distance, les réglages fins, et tout et tout sans Google dans la boucle.

L’installation passe par le bootloader OMAP en mode DFU. Vous flashez trois composants : x-load.bin (first-stage bootloader), u-boot.bin (second-stage bootloader), et uImage (kernel Linux). Vous aurez donc besoin d’un ordi Linux ou macOS, d’un câble USB, et d’au moins 50% de batterie sur le thermostat. Windows marche théoriquement avec MingW ou CygWin, mais les retours sont mitigés pour le moment…

Le mec a même reçu 15 000 balles de la part de la FULU Foundation qui “crowdfunde” des récompenses pour les développeurs qui libèrent des appareils proprios. Bien joué !

Et l’intégration Home Assistant est prévue dans son projet. Le firmware backend et l’API server seront d’ailleurs open sourcés bientôt donc chacun pourra aussi héberger son serveur. Kociemba prévient quand même que son projet est hyper expérimental donc ne flashez pas un thermostat qui serait critique pour votre chauffage parce que si ça foire, vous allez vous les geler cet hiver ^^.

En tout cas, maintenant les propriétaires de Nest Gen 1 ou 2 ont maintenant le choix de garder leur matos pleinement fonctionnel ! Et ça c’est cool !

Source

Face à l’urgence climatique, l’idée d’injecter des particules dans la stratosphère pour refroidir la planète attire de plus en plus l’attention. Cependant, une nouvelle étude menée par Miranda Hack et V. Faye McNeill de l’Université Columbia souligne que cette approche, connue sous le nom de Solar Aerosol Injection (SAI), présente d’importantes limites techniques, logistiques et ... Lire plus

L'article Assombrir le Soleil : une stratégie risquée et irréaliste, préviennent les scientifiques est apparu en premier sur Fredzone.

France Travail a subi une nouvelle cyberattaque, confirmant le vol de données personnelles. Alors que l’organisme enquête encore sur l’ampleur de la fuite, le groupe de hackers Stormous a déjà revendiqué le vol des informations de plus de 30 000 demandeurs d’emploi. La méthode utilisée cible directement les …

Lire la suite

Aimez KultureGeek sur Facebook, et suivez-nous sur Twitter

N'oubliez pas de télécharger notre Application gratuite iAddict pour iPhone et iPad (lien App Store)

---

L’article France Travail a encore été piraté avec un vol de données est apparu en premier sur KultureGeek.

Voici l’histoire de Pixelmelt, un développeur qui voulait simplement sauvegarder en local un ebook acheté sur Amazon pour le lire avec une autre app parce que l’app Kindle d’Android a crashé une fois de trop à son goût.

Mais c’est impossible. Pas de bouton download, pas d’export, que dalle… Même si vous avez acheté le livre, c’est Amazon qui décide de comment et de quand vous pouvez le lire.

Bref, frustré, il se tourne alors vers le Kindle Cloud Reader, la version web de l’app. Et là, il découvre un truc incroyable ! Amazon a créé un système d’obfuscation tellement complexe qu’il ressemble aux techniques de cryptographie des manuscrits anciens. Mais siii, vous savez, ces textes enluminés que seuls les moines pouvaient déchiffrer au Moyen-Âge. Amazon a réinventé le concept en version numérique.

Pour fonctionner, le Kindle Cloud Reader utilise un endpoint de rendu qui nécessite plusieurs tokens d’authentification. Déjà c’est pas simple. Mais ça se corse un peu plus quand on regarde le texte qui s’affiche car ce ne sont pas des lettres ! Ce sont des glyphes, essentiellement des séries de coordonnées qui dessinent une lettre. Ainsi, au lieu de stocker le caractère ‘T’, Amazon stocke “glyphe 24” qui correspond à une forme dessinée via des commandes SVG. Et ces glyphes changent de mapping toutes les 5 pages, un peu comme un codex (coucou Dan Brown ^^) où l’alphabet se transforme à tous les chapitres.

Du coup, pour son livre de 920 pages, il a fallu faire 184 requêtes API distinctes. Chaque requête récupère un nouveau jeu de glyphes soit au total 361 glyphes uniques découverts, et 1 051 745 glyphes à décoder. Oui, ça fait plus d’un million de symboles à traduire pour lire un seul livre.

Amazon a même ajouté des pièges comme des micro-opérations MoveTo complètement inutiles dans les SVG qui s’affichent parfaitement dans le navigateur mais cassent toute tentative de parsing automatique. C’est de l’anti-scraping placé là volontairement, comme des fausses pistes dans des cryptogrammes médiévaux destinées à tromper les copistes non autorisés.

Face à ce délire, notre développeur est alors devenu malgré lui un crypto-archéologue. Sa méthode a donc été de comparer pixel par pixel chaque caractères, valider chaque hypothèse, pour tout reconstruire patiemment. Je vous passe les détails techniques mais il a sorti chaque glyphe SVG sous la forme d’une image, puis a comparé ces images pour trouver leur correspondance avec les vraies lettres en utilisant un outil (SSIM) qui simule la perception humaine pour évaluer la similarité entre deux images.

Résultat, 100% des glyphes matchés ont un score quasi-parfait ce qui lui a permis de reconstruire un fichier EPUB complet avec le formatage, les styles, les liens internes…etc. Tout y est, c’est trop fort !

Bref, Pixelmelt 1 - Amazon 0 ! Et ça, ça fait plaisir ! Maintenant si vous voulez connaitre tous les détails de ça et refaire la même chez vous (pour rigoler hein, ne vous lancez pas dans dans une opération de piratage massif sinon vous finirez en taule comme Sarko ^^)

YesWeHack devient autorité CVE : un accélérateur de remédiation, de traçabilité et de gouvernance des vulnérabilités.

TRADUCTION a dit : Two Young Suspects Linked to Scattered Spider Indicted in the UK for the TfL Hack, a Case with Heavy Legal Implications. They Face Life Imprisonment!...

— Liens directs

PIX hacked in Brazil: insider employee, €100M stolen. Central Bank freezes operations. Social engineering at the core of the breach....

Allianz Life hacked via social engineering: 1.4M client records exposed. ZATAZ finds data on darknet. FBI investigation underway....

— Liens directs

— Permalink

— Permalink

— Permalien

— Liens directs