Pourquoi Banque Populaire est la première banque des entreprises ?
Je me posais des questions sur le partage de la valeur pour mes salariés.
Elodie, ma conseillère Banque Populaire, m'a proposé une solution d'épargne salariale sur mesure,
rapide à mettre en place et que je peux piloter en ligne.
C'était simple et surtout ça a fait des heureux.
Accompagner nos clients sur tous les territoires avec des solutions adaptées à leurs besoins,
c'est ça, être la première banque des entreprises, Banque Populaire, la réussite est en voulue.
Étude Quantar PMEP et Mie de 1023, 14 Banque Populaire, 1ère Banque des PM.
Aujourd'hui, j'ai décidé ça va pas être extrêmement long, je vous préviens,
mais j'avais envie de vous partager un peu les tests que je suis en train de faire en ce moment,
à base de ces petites merveilles qui permettent de transformer concrètement
ce qui peut ressembler à des téléphones normaux en toolbox de hacking.
Peut-être que vous avez vu passer des projets qui sont en rapport avec ça,
je vais vous donner un peu le mois-mais récent test.
Et franchement, c'est vraiment très très marrant.
Honnêtement, assez peu d'usages pratiques.
Est-ce que c'est un rapport avec l'appareil qui a percé de haut sur TikTok,
genre le zapper, je sais pas quoi là ?
Non, tu parles du flipper.
Oui, flipper 0.
Alors, on l'a aussi.
On l'a aussi, on en a vite fait par rien d'un point, on reste sûrement à refaire des trucs avec,
des concepts et tout.
Surtout que c'est vraiment fait pour être très extensible.
Mais non, là, ce n'est pas directement en rapport avec le flipper 0.
Alors, avant de vous montrer comment on peut transformer ces trucs-là en outils de pentest
ou de cyber sécurité,
eh ben, il faut que je vous parle d'abord de celui-ci qui est un téléphone pas comme les autres du tout.
À votre avis, qu'est-ce qui pourrait avoir de très particulier ?
Il a un taser.
Il n'a pas de taser.
Alors, ben, lui, il tourne sur Cali Linux.
Il sait effectivement déverrouiller, comme vous pouvez le voir.
Il y a une rom Android de Cali.
Il tourne sur Cali Linux.
Et non, enfin oui, mais en réalité, ce téléphone ne tourne absolument pas sur Android.
Comment ?
Quoi ?
Attends, excuse-moi, c'est pour l'aménagement.
Non mais effectivement, contrairement à vos iPhones et Samsung, etc.,
son système d'exploitation n'est absolument pas iOS ou Android.
Il tourne bien sur un Linux.
Alors, comment est-ce que c'est possible ?
Évidemment, quand on voit le truc, on ne se dit absolument pas que c'est un ordinateur complet.
C'est vraiment le form-facteur d'un téléphone.
Vous pouvez le checker.
C'est pas aussi moderne et fin qu'un iPhone, mais franchement, ça passe nickel.
C'est 1, 2, 3, 4.
Super.
Mais c'est quoi ?
Mais attends, mais...
Il se fout de moi.
Il se joue de moi.
Ça ressemble à... c'est Android, en fait.
Mais en fait, non.
Ce n'est pas Android.
Allez, Nique, je vais t'expliquer ça dans les détails.
Donc, très concrètement, c'est ce qu'on appelle un Pinephone.
Donc, c'est un téléphone qui a été proposé sur Kickstarter, je crois à l'origine.
Il y a eu ensuite plusieurs versions.
Là, c'est la version pro que moi j'ai reçue il y a quelques mois et qui a été livrée à peu près à partir de 2022.
Et si vous l'aurez, c'est mieux de tester.
Effectivement, quand on le déverrouille, on a l'impression que c'est un téléphone Android comme un autre.
Sauf qu'en réalité, c'est bien une distribution Linux complète qui tourne dessus.
Et c'est juste le desktop environment.
En gros, donc, l'environnement de bureau, effectivement, c'est GNOME.
C'est GNOME ça ?
Donc, un truc très connu mais qui a été modifié pour être plus agréable à utiliser sur un tout petit appareil avec du tactile.
Donc, par exemple, voilà, vous avez accéder à un terminal, vous allez avoir un clavier tactile qui apparaît, etc.
Que des trucs qu'on n'imaginerait absolument pas du tout sur Linux.
Alors, vous vous dites peut-être à quoi ça sert ?
Finalement, à quoi sert cette merde ?
Mon iPhone fonctionne, vous allez dire.
Et bien, effectivement, c'est pas du tout quelque chose qui a actuellement fait pour les utilisateurs finaux.
Donc, voilà, espérez pas changer votre iPhone pour ça.
Vous allez péter un câble.
Il y a pas de choses qui sont un peu lentes, etc.
Qui ne sont pas encore adaptées.
Mais, malgré tout, on peut quand même plus ou moins tout faire.
Donc, tu peux totalement mettre une carte, une carte SIM dedans.
Il y a des applis pour les messages, le téléphone, camérables, tout suifit, tout du tout.
Et l'objectif, c'est de créer une plateforme open source pour pouvoir ensuite, par-dessus, développer des projets et faire de la bidouille.
Et vous allez voir que mon histoire de hacking est à rapport avec ça, justement.
En gros, même s'il n'est pas parfait, par exemple, il n'est pas totalement open source, en réalité, il y a des tout petites briques,
comme souvent, qui sont encore propriétaires par rapport au réseau, des trucs sombres.
Et bien, malgré tout, c'est la première fois qu'on a un appareil comme ça, qui n'est pas trop cher, qui a de la gueule, quoi.
Et qui est complètement ouvert.
Donc, on peut vraiment le retourner et faire tout ce qu'on veut avec.
Notamment, sur le fait qui est particulièrement étonnant, c'est que construire un truc comme ça, c'est un petit miracle en réalité.
Parce que c'est très dur, en fait, de trouver des composants.
Donc, pour oui, si vous voulez faire un ordinateur plus ou moins libre, ça existe.
Ce n'est pas trop trop compliqué.
Sur un téléphone, c'est vraiment très galère, parce que toutes les petites puces, là, qui sont faites par Qualcomm ou Samsung...
Ils ont des firmware.
Exactement.
Jamais de la vie, ils voudront ouvrir leur driver et encore moins leur plan d'usine, si on voulait leur faire.
Donc, c'est vraiment très très très compliqué.
Il y a une autre tentative qui s'appelle Librem, mais qui était un peu décevant.
J'ai fait un peu de réchauffement.
Et là, je pense que ça va vraiment t'intéresser, parce que c'est vraiment la gamme au-dessus.
Comme je disais, d'un point de vue de l'esthétique, il est 100% correct.
Il est entièrement démontable, donc tu peux vraiment remplacer toutes les pièces juste avec un petit tournevis.
Tu n'as rien d'horrible à décoller comme sur les appareils.
Comme les batteries d'iPhone, tu veux dire.
Exactement, précisément.
Et il y a un petit truc qui est intéressant, c'est qu'à l'arrière, vous allez voir que sa face à l'arrière est pas comme les autres.
Je vais y arriver.
Il y a deux trucs assez stylés à l'arrière, je vais éteindre.
Donc déjà, tu as une batterie que tu peux remplacer, ce qui n'est pas mal.
Elle est énorme.
Elle est bien fatasse.
Et ensuite, là, tu as un petit endroit un peu particulier.
On vous mettra des images.
Mais en gros, tu as des kill switches qui te permettent de débrancher matériellement le micro, la caméra, le wifi ou le Bluetooth.
C'est vraiment des switches physiques qui, en gros, vont te permettre de...
C'est comme ton compteur...
C'est comme ton compteur linky.
Donc c'est vraiment des switches matérielles qui vont te permettre si tu n'as pas envie d'utiliser ton micro ou tes caméras.
Tu n'as aucune raison de les laisser brancher.
Et plus, peut-être que j'en sais rien, tu as un métier un peu à risque et tout, tu peux directement utiliser ça.
Et ensuite, tu as des petits pins aussi qui sont à l'arrière.
Nettement qu'une caméra zenital.
Mais on les affiche en même temps.
Tu as des petits pins comme ça qui vont permettre de créer des extensions en gros pour le téléphone.
Parce que, comme je disais, c'est en fait une base pour développeur.
Pardon, je fais mon télé-achat.
Salut ! Si vous appréciez Ender Score, vous pouvez nous aider de ouf en mettant 5 étoiles sur Apple Podcast.
En mettant une idée d'invité que vous aimeriez qu'on reçoive.
Ça permet de faire remonter Ender Score.
C'est l'une fusée.
En fait, c'est une base à bidouille en fait.
C'est vraiment fait pour être utilisé dans d'autres projets.
Et donc ces petits pins-là que tu peux utiliser pour faire du dev, ils vont être utilisés par les gens pour créer des extensions au téléphone.
Genre, il y en a qui ont créé une coque qui intègre la recherche sensuelle.
Ou une coque qui intègre une empreinte digitale, tu vois, parce que ce n'était pas dispo à la base.
Ou alors, il y en a qui ont fait un tout petit clavier trop stylé, qui vient direct, ou tu viens directement...
Je ne sais pas ce que c'est quoi, de sûr.
Regarde, sur les pins, ça ressemble à ça.
Deux de datas, là, hein.
En fait, tu viens directement à ça, à ton téléphone dedans, et ça fait genre...
Un petit clavier pour les petits geeks.
C'est ça.
Ça fait genre giga aux batteries.
Donc tu as une énorme powerbank à l'intérieur, plus un clavier.
Je trouve ça trop stylé.
Franchement, c'est le genre de projet où on l'intéresse objectif et immédiat dans ma vie, et pas évident.
Mais franchement, c'est trop kiffant.
Et donc...
Vraiment pas mal.
Ça fait une bonne plateforme pour peut-être faire du hacking.
Ça pourrait être sympa, non ?
Bah ouais.
Et bien...
Qu'est-ce que tu as fait ?
C'est pas mal, c'est pas mal.
Et ben, ce n'est pas tombé dans l'oreille d'un sourd, puisque il y a l'entreprise, effectivement, Kali,
que vous connaissez forcément, puisque...
Parmi, il y a des grenons qui ont une distribution qui est très prisée par les hackers et les pen-tester,
en tout genre, avec beaucoup d'outils préinstallés, etc.
Et bien, ils ont lâché une news très stylée récemment, il y a un ou deux mois.
Comme quoi, ils avaient, du coup, développé une version de leur système d'exploitation,
spécialement pour cet appareil.
Et c'est ça qui fait qu'il est utilisable et que...
Et que, voilà, tu as un clavier en touch et tout.
Et en gros, c'est une version de leur OS qui s'appelle Net Hunter.
Peut-être que vous avez entendu parler de Net Hunter.
Mais en fait, c'est la version d'Android pour faire du hacking.
C'est ce dont tu parlais tout à l'heure.
Ce n'est pas la première fois qu'on a un appareil de petite taille qui peut faire du pen-test.
On avait déjà une solution qui s'appelait Net Hunter.
Et que tu pouvais installer, par exemple, sur les Nexus, ou sur les pixels,
ou sur les OnePlus, c'est pour ça que j'ai un OnePlus ici.
Et qui était suffisamment ouvert, notamment,
tu pouvais débloquer l'installation de OS alternative de ROM Custom.
Et donc, c'était le projet Net Hunter.
Net Hunter, si vous ne connaissez pas, c'est vraiment une pépite.
Il y a tellement de trucs trop stylés à faire avec.
Par exemple, pour ma petite liste d'exemples que je vais trouver,
par exemple, vous pouvez faire des tests d'intrusions sur du Wi-Fi.
Donc, faire du...
Moi, la base, c'est que j'ai connu ça pour ça.
En fait, à l'époque, ça s'appelait Backtrack.
Oui, et à l'époque, quand tu voulais jouer à Awo et que tu étais en vacances en Auvergne avec la famille,
et que tu avais 14 ans, tu avais très peu de chance,
parce que les Live Box autour, elles étaient en WEP,
et tu pouvais encore les péter avec Backtrack.
Ça, c'est vraiment la bonne époque.
Et bien, Net Hunter, tu as aimé cette possibilité.
Tu as même la possibilité d'avoir des antennes Wi-Fi
qui pourront faire de l'injection de paquets.
Alors, sans entrer dans les détails, c'est très cool
de ne pas avoir besoin de se trimballer avec une antenne secondaire.
Tu peux faire du pétage de mode passe de téléphone,
puisque tu as ton téléphone.
Oui, tu as ton téléphone.
Tu peux le brancher à un autre avec le bon câble.
C'est plutôt discret.
Exactement, c'est hyper discret.
Tu peux l'avoir toujours sur toi.
Et donc, en simulant un clavier,
puisque un téléphone arrive à faire ça,
donc des attaques par HID, ça s'appelle,
on arrive à faire du brute force de Codpin.
Je vous ai montré une petite vidéo si vous arrivez à l'achopter.
Mais très concrètement, la technique, c'est simple.
Tu test l'ensemble des possibilités à 4, 5, 6 chiffres.
Et en espérant trouver sur le bon.
Du coup, à chaque fois,
à attendre un petit délai quand ça se bloque,
mais il suffit de recommencer ensuite,
on est capable de faire des estimations.
En gros, pour un code à 4 chiffres,
c'est une journée maximum.
C'est un clien.
Et encore, en fait, c'est beaucoup plus rapide que ça.
Souvent, parce que ce qu'ils font, c'est qu'ils ont créé des listes
où ils ordonnent tous les codes PIN par probabilité.
Ah oui, les plus populaires genre.
Et en fait, genre 7, 2, 5, 9, c'est d'ailleurs beaucoup moins probable que 2, 2, 4, 4 par exemple.
Si vous regardez les missions, moi je vous encourage à faire ça.
Je les fais parce que chez que sur iPhone, ça existe,
sur Android, ça existe certainement.
Si vous avez un code, genre un PIN,
je la suis, il y a un code à 4 chiffres par exemple,
vous pouvez mettre un mode pass custom.
Moi, j'ai un mode pass custom chez mon iPhone.
Il faut que je tape un truc de 20 caractères dans des lits, tu vois.
Mais du coup, ça te sécurise en cas de...
Effectivement, tu as une autre...
Apparemment, je viens de dire le code de quelqu'un.
De l'équipe ?
Non, dans le chat de quelqu'un.
Ça tout se parait, mais ça aurait été drôle.
Et donc effectivement, une autre option de se protéger,
enfin, un autre moyen de se protéger, c'est d'activer le fait que le téléphone s'efface au bout d'un...
de trop de tentatives en gros.
Mais bon, c'est quand même un peu chiant.
Autre truc cool, c'est que...
T'as tous tes outils calis partout.
Et je sais pas si ça vous est déjà arrivé dans le chat,
mais c'est toujours au moment où tu en as besoin,
que tu n'as pas ton ordi, que tu n'as pas ton truc.
Genre, je ne sais pas, exemple tout bête,
mais tu es dans l'avion.
Non, tu ne vas pas flasher l'avion, Minko.
Donc elle veut tout un Minko.
Tu es dans l'avion et tu aimerais accéder au Wi-Fi.
Mais genre, il est sous paywall.
Oui, donc tu vas voler l'adresse Mac du voisin.
Le classique.
Une technique, c'est de voler l'adresse Mac du voisin.
Mais faut pouvoir le faire.
Et du coup, voilà, tu n'as pas le bonheur.
Je crois que c'est ma technique de chien de la casse préférée,
parce qu'en plus, elle marche encore.
Ils peuvent rien y faire pour le coup.
Pardon, on a...
On va se mettre à dos les compagnies d'Aérien.
Et dernier truc bien cool, c'est que,
par défaut, il est capable de se connecter au AKRF.
Donc il y a un outil bien connu pour faire des bidouillages
sur les zones radio.
Par exemple, le truc qui peut faire un brouilleur de téléphone,
je vois, ou usurer un GPS, c'est par exemple.
Et...
Usurer un GPS ?
Un gros faire croire que tu es un satellite.
Et du coup,
faut c'est complètement les GPS de...
Attends, tu peux changer l'itinéraire des gens, Jean ?
Oui, mais attention, c'est parfaitement éligale, vraiment.
Tu veux dire que les gens peuvent faire ça, là,
sur la main, ce soir, par exemple ?
Tu m'en fais en prison.
Attends, mais je ne sais même pas que ça existait,
par exemple, écouter ou émettre
comme des transpondeurs d'avion ou de bateau, tu vois.
Ça, pareil, extrêmement éligale, vraiment.
Non mais...
Ne dis pas ça, dis-qu'à-t'en.
Émettre comme les transpondeurs d'avion ?
Il faut bien qu'ils émettent d'une certaine manière.
Je pense que c'était chiffré d'une façon,
j'aurais rien certificé, tu vois, un truc.
Ben, gros, tu as un tiré.
Parce que, par exemple, à l'époque,
on pouvait écouter les radio de la police, mais c'est fini maintenant.
C'est crypté depuis très longtemps.
Ah oui.
Tu fais exprès de m'embêter à chaque fois.
Tu m'en fais un crypté tout le temps.
Ah oui, oh, vous me fêtissiez avec ça.
Oui, apparemment, c'est
communautaire, en fait,
le protocole de discussion.
Je ne sais pas du tout.
Et on avait vu ça puisque tu as décidé,
c'était qui répertorie l'ensemble de
toutes les positions des appareils entendaires, etc.
qui se basent là-dessus, justement, avec des récepteurs et tout.
C'est pas tout à fait
illégal pour les bateaux.
Je parlais précisément du fait d'émettre
à mon avis,
c'est un tour de contrôle.
À mon avis, c'est illégal quand même.
Oui, oui, non mais oui, il n'y avait pas à réfléchir.
Est-ce que je peux faire sans moi être
une tour de contrôle ? Non ?
Tout bonnement.
Effectivement, il faut une licence.
Tout ça pour dire que
avec très peu de matériel,
parce qu'on se dit souvent, voilà, pour faire
je veux m'initier aux pentesses de hardware, etc.
J'ai besoin d'acheter du matos hyper cher
et tout. Et bien en fait, peut-être pas
Vous pouvez, avec vos téléphones,
bah, si ton téléphone, quoi.
Ouais, ok.
Ça va ?
Et donc, par exemple,
non mais si tu n'as pas trop de...
tu peux prendre un X-TU-5, tu vas, ou un ONE Plus,
ça marchera toujours. Tu sais que je viens de peter
mon crâne parce que, en fait, on peut
imiter le call sign de n'importe quel avion ?
Ben, peut-être,
je sais pas, tu as eu des idées de...
Mec, théorique.
Non, tu fais apparaître Air Force One
à un endroit improbable.
Genre, vraiment, mais
tu vois, genre, au milieu de la tour de pise,
tu vois, genre, qu'est-ce qu'il fout là ?
C'est rien, c'est Joe Biden qui fait des burn.
Non mais, c'est pas si c'est techniquement possible, mais...
Quelqu'un qui veut ouvrir sa tour de contrôle
maritime dans les Vosges...
Le tour de contrôle en amateur.
Donc, voilà, c'était
ma petite recommandation. C'est un truc qui est facile
à faire chez vous. Si vous voulez
tester les trucs, j'ai pas mentionné les attaques
par clavier aussi.
Qu'est-ce qu'on peut faire d'idées, gale, en plus ?
Non mais c'est que... Si vous vous rendez
de la drogue, c'est que des trucs, évidemment, pour vous
former, donc pour apprendre des choses.
Et voilà, faites attention.
A but éducatif.
Évidemment. N'hésitez pas.
Tu connais Tavent ? On lui parlait de certains de ses projets ou pas ?
C'était... C'est une découverte.
Non, le Kali Dynux, là, mobile,
le Pinephone, pareil, c'est une découverte.
J'avais entendu parler du LibreM5, parce que je suis
beaucoup la boîte, du coup,
pure OS, tout ça. Mais non,
découverte, et excellent outil.
Ouais, et en fait, donc, en fait, ce qu'il faut se dire, c'est que c'est que le début.
C'est-à-dire que, pour
pouvoir créer un écosystème de dev et
d'outils disponibles, etc.
et pour avoir vraiment des OS qui
peuvent tenir la concurrence,
c'est con, mais en fait, il faut du matériel.
En fait, tu dois bien pouvoir développer
sur quelque chose. Et là, c'est la première fois que
c'est pas cher. C'est hyper pratique.
Et c'est plus petit qu'un laptop.
Exactement. Et donc,
tu peux, en plus, aller le brancher facilement
à Clavis Tourie, grand, et peut-être ton mardi sur toi.