![\"hackito-ergo-sum-2012-8557\"](\"https:\/\/www.digdeo.fr\/articles\/wp-content\/uploads\/2012\/04\/hackito-ergo-sum-2012-8557.jpg\")
<\/p>\nApr\u00e8s une premi\u00e8re journ\u00e9e tr\u00e8s int\u00e9ressantes, la communaut\u00e9 s’est retrouv\u00e9e \u00e0 une petite soir\u00e9e, beaucoup ont annonc\u00e9 ne pas \u00eatre pr\u00e9sent avant 10h pour cette deuxi\u00e8me journ\u00e9e, \u00e0 priori ce n’est pas la majorit\u00e9, la salle est d\u00e9j\u00e0 bien remplie.<\/p>\n
<\/p>\n
#HES2012 2012-04-13 9h-10h<\/p>\n
<\/p>\n
Fyodor aborde la cybercriminalit\u00e9 et le panorama de leur mon\u00e9tisation au niveau internationale. Les nouveaux moyens de paiement notamment mobiles sont pl\u00e9biscit\u00e9s car peu ou mal surveill\u00e9s. Il aborde enfin la s\u00e9curit\u00e9 active et passive. Des groupes scannent internet (tous les ranges d’ip) pour trouver des failles. Il faut donc en pr\u00e9vention faire un certain nombre de machines virtuelles passives \u00e9quip\u00e9s de honeypot pour diff\u00e9rents protocoles. Ainsi un ISP ou fournisseur de services sont capables de rapidement analyser les risques sur leurs infrastructures. Cette politique est un gage de r\u00e9activit\u00e9 accrue.<\/p>\n
#HES2012 2012-04-13 10h-11h<\/p>\n
Renaud commence par pr\u00e9senter ses activit\u00e9s au sein de BT et le principe du paiement sans contact (NFC). En France 100 000 terminaux sont d\u00e9j\u00e0 compatibles et 10 millions de cartes sont compatibles aux USA. Il existe deux syst\u00e8mes un par Visa et un pour MasterCard. Le paiement est pour le moment limit\u00e9 \u00e0 4 paiements de maximum 20\u20ac. Les cartes NFS compatibles ont un logo de signal radio comme le wifi. Dans l’assembl\u00e9e seule une personne a une carte NFC, sans doute que certains n’ont pas pr\u00e9f\u00e9r\u00e9 le dire :). Le but du paiement sans fil est cens\u00e9 simplifi\u00e9 l’utilisation du moyen de paiement et au Canada les statistiques montrent que les gens consomment plus facilement.<\/p>\n
Le stockage et la s\u00e9curit\u00e9 est assur\u00e9 par le standard EMV et la norme ISO 7816-4. La carte a un vrai filesystem avec un root directory et des r\u00e9pertoires \/ fichiers. Les donn\u00e9es sont encod\u00e9es en BER TLV. Renaud analyse les donn\u00e9es pr\u00e9sentes dans une requ\u00eate de paiement sans contact. On retrouve une class, une instruction, deux param\u00e8tres, la longueur des donn\u00e9es, les donn\u00e9es et la longueur de la r\u00e9ponse esp\u00e9r\u00e9e. A pr\u00e9sent un parall\u00e8le est fait avec le pass Navigo, le ticket sans contact des transports parisien. La s\u00e9curit\u00e9 est bonne car aucune donn\u00e9e personnelle n’est pr\u00e9sente, aucun lien ne peut \u00eatre fait entre une personne et sa carte sauf par les serveurs centraux. La carte poss\u00e8de un bon cryptage, une bonne authentification et une signature digitale.<\/p>\n
![\"hackito-ergo-sum-2012-8561\"](\"https:\/\/www.digdeo.fr\/articles\/wp-content\/uploads\/2012\/04\/hackito-ergo-sum-2012-8561.jpg\")
<\/p>\n
Les cartes de paiement sans contact sont au contraire du pass navigo, aucun cryptage des donn\u00e9es, aucune authentification, tout est ouvert. Le NFC regroupe le RFID, le NFC et le Cityzi, les fr\u00e9quences sont en HF \u00e0 13,56Mhz et en LF entre 125 et 134 Khz. On trouve des lecteurs usb et des t\u00e9l\u00e9phones capables de lire les NFC. Pour les outils utiles scriptor pour le prototype, libnfc et pn53x-tamashell pour la partie NFC et quelques scripts persos sont n\u00e9cessaires.<\/p>\n
Les donn\u00e9es que l’on peut extraire sont les donn\u00e9es du propri\u00e9taire : sexe, nom, pr\u00e9nom, votre num\u00e9ro de compte PAN, votre date d’expiration, les donn\u00e9es de la bande magn\u00e9tique, l’historique de vos transactions. Potentiellement d’autres donn\u00e9es restent \u00e0 d\u00e9couvrir comme les clefs publiques. Par contre le num\u00e9ro de la carte CVV n’est pas inscrit dans les donn\u00e9es NFC, on ne peut donc pas le r\u00e9cup\u00e9rer.<\/p>\n
Les attaques possibles, sont le fait de r\u00e9cup\u00e9rer les donn\u00e9es et de les utiliser pour des paiements en ligne. On peut aussi bloquer une carte bleue en envoyant trois requ\u00eates de code pin erron\u00e9s et ainsi bloquer tout paiement avec cette carte. On peut aussi tenter la duplication de la carte, les donn\u00e9es NFC sont presques compl\u00e8tes et les donn\u00e9es de la piste magn\u00e9tique peuvent \u00eatre reproduites. Une telle carte clon\u00e9e pourra \u00eatre utilis\u00e9 dans les pays ne demandant pas le code pin comme les USA et certains pays europ\u00e9ens par exemple. Enfin on peut reconna\u00eetre la pr\u00e9sence d’une personne et d\u00e9clencher des actions : surveillance des passages, terrorisme avec une voiture qui explose uniquement si la personne vis\u00e9e est pr\u00e9sente.<\/p>\n
Renaud aborde la m\u00e9thode pour faire une attaque avec la libnfc. On envoie une s\u00e9quence d’initialisation, il faut apr\u00e8s retrouver le code AID de l’application de la banque, ce num\u00e9ro se trouve sur tous les tickets de re\u00e7u de carte bleue et n’est pas tronqu\u00e9. Enfin il faut lire la r\u00e9ponse EMV de la carte. Renaud nous pr\u00e9sente les code AID des diff\u00e9rents types de paiement visa, mastercard, american express, \u2026<\/p>\n
![\"hackito-ergo-sum-2012-8562\"](\"https:\/\/www.digdeo.fr\/articles\/wp-content\/uploads\/2012\/04\/hackito-ergo-sum-2012-8562.jpg\")
<\/p>\n
Une d\u00e9monstration est faite avec sa carte bleue dans son porte feuille qu’il approche du lecteur. Instannn\u00e9ment toutes les donn\u00e9es se trouvant dans sa carte sont apparues. On y voit son num\u00e9ro de carte bleue, sa date d’expiration, son identit\u00e9 et l’historique de ses achats. Une deuxi\u00e8me d\u00e9monstration est faite sur un syst\u00e8me Android, les m\u00eames donn\u00e9es apparaissent. On imagine ais\u00e9ment les cons\u00e9quences de scan avec un t\u00e9l\u00e9phone dans un m\u00e9tro bond\u00e9.<\/p>\n
A pr\u00e9sent nous voyons les limites des attaques. La principale contrainte est la distance entre 3 et 5 cm est la distance id\u00e9ale. Mais en utilisant des amplificateurs on peut monter \u00e0 1,5m. Avec un r\u00e9cepteur type USRP avec une antenne directive on peut monter \u00e0 15m. Il rappel que des hackers avaient r\u00e9ussi en 2004 \u00e0 monter la distance op\u00e9rationnelle du bluetooth de 10m \u00e0 1,7km. La seule protection possible est un porte feuille anti RFID capable de bloquer les ondes radios comme une cage de Faraday. Renaud fait \u00e0 pr\u00e9sent les recommendations de ce que devrait \u00eatre la s\u00e9curit\u00e9 sur les cartes NFC. Authentification, cryptage des communications, les sessions doivent \u00eatre s\u00e9curis\u00e9es. Aussi pour lui le syst\u00e8me doit \u00eatre enti\u00e8rement revu et ne pas \u00eatre utilis\u00e9. Le paiement NFC n’est pas compatible avec les recommandations PCI DSS alors que ces derniers sont \u00e0 l’origine du paiement NFC. Aussi c’est un grand \u00e9chec de la politique de s\u00e9curit\u00e9 et de lutte contre la fraude des paiements au niveau internationale. En France le fait de ne pas prot\u00e9ger des donn\u00e9es personnelles est un acte criminel, la CNIL est d\u00e9j\u00e0 pr\u00eate \u00e0 demander des actions concr\u00eates, aussi l’utilisation de cartes NFC en France semble incompatible.<\/p>\n
Renaud termine sur le fait qu’il n’a pas eu besoin de faire de reverse engineering puisque le protocole est public, qu’il n’est entr\u00e9 dans aucun syst\u00e8me et n’a cass\u00e9 aucune s\u00e9curit\u00e9 puisqu’il n’y en a simplement aucune.<\/p>\n
#HES2012 2012-04-13 11h-12h<\/p>\n
![\"hackito-ergo-sum-2012-8563\"](\"https:\/\/www.digdeo.fr\/articles\/wp-content\/uploads\/2012\/04\/hackito-ergo-sum-2012-8563.jpg\")
<\/p>\n
La pr\u00e9sentation commence avec Andrey par les diff\u00e9rences de modes d’authentification entre un ordinateur et un smartphone. Les ordinateurs ont de bons syst\u00e8mes mais les portables n’ont qu’un code pin, un code alphanum\u00e9rique ou un geste. Les mots de passe avec une longueur int\u00e9ressante pour la s\u00e9curit\u00e9 sont compliqu\u00e9s sur un portable par rapport \u00e0 un pc. L’avantage des PC est la capacit\u00e9 \u00e0 craquer rapidement des mots de passe, m\u00eame si ces derniers sont issus des smartphones.<\/p>\n
L’acc\u00e8s aux donn\u00e9es de smartphones iPhone se fait par afc comme l’acc\u00e8s iTunes, l’acc\u00e8s SSH pour les appareils jailbreak\u00e9 ou en faisant une image compl\u00e8te du t\u00e9l\u00e9phone ou en utilisant le backup. Pour les BlackBerry l’acc\u00e8s se fait le mot de passe du terminal.<\/p>\n
Pour les terminaux Blackberry, le conteneur des mots de passe supporte 5M de clefs\/sec en attaque par CPU et 20M de clefs\/sec avec un GPU. Le Blackberry Wallet est encore plus faible au niveau s\u00e9curit\u00e9, 6M de clefs\/sec en CPU et 300M de clefs\/sec en GPU. Avec l’\u00e9volution des versions, on atteint 3,2M de clef\/sec en GPU avec la version 1.2 du Blackberry Wallet.<\/p>\n
![\"hackito-ergo-sum-2012-8564\"](\"https:\/\/www.digdeo.fr\/articles\/wp-content\/uploads\/2012\/04\/hackito-ergo-sum-2012-8564.jpg\")
<\/p>\n
Dmitry aborde la partie iOS et aborde diff\u00e9rentes applications star pour le stockage des mots de passe. Certaines applications stoquent les donn\u00e9es dans une base SQLite et ne sont pas encod\u00e9es. Les mots de passe de protection d’acc\u00e8s sont souvent stoqu\u00e9es en clar ou sont tr\u00e8s facilement crackables. Quelques exemples iSecureLite Password Manage, Secret Folder Lite, Ultimate Password Manager Free. My Eyes Only utilise RSA uniquement pour coder les mots de passe mais toutes les clefs publiques et priv\u00e9es sont dans le m\u00eame fichier avec seulement 512 bits en taille. Keeper Password & Data Vault utilisent aussi une base SQLite, md5 pour le mot de passe principal, SHA1 du master password est utilis\u00e9 comme clef AES. On arrive \u00e0 60M clefs\/sec pour le MD5, 6000M pour le GPU. Il n’y a pas de salt sur le chaines, les raimbow tables MD5 peuvent donc \u00eatre utilis\u00e9es rendant le craque d’un mot de passe simple tr\u00e8s facile et pratiquement instantann\u00e9. Password Safe iPassSave Free utilise aussi une base SQLite et bloque l’utilisateur sur des pins trop simples. Une master key al\u00e9atoire est utilis\u00e9e et est utilis\u00e9e pour le codage des mots de passe. Avec l’algoritme AES-256 on peut atteindre 20M de clefs\/sec sur CPU et construire une raimbow table car pas de salt utilis\u00e9.<\/p>\n
Les applications payantes ne sont pas en reste, SafeWallet Password Manager peut \u00eatre attaqu\u00e9 \u00e0 hauteur de 20M de clefs\/sec. DataVault Password Manager utilise le keychain d’iOS pour stocker une clef SHA-256 du master password mais ce dernier est accessible facilement par l’acc\u00e8s SQLite. Le master password est donc un SHA1(SHA-256(password)). C’est un peu plus long mais attaquable facilement. mSecure Password Manager utilise une clef SHA-256 et une blowfish on arrive \u00e0 une attaque de 300K clefs\/sec en CPU. LastPass for Premium Customers utilis\u00e9 par le gouvernement am\u00e9ricain pour les documents sensibles est aussi attaquable \u00e0 hauteur de 12K clefs\/sec en CPU et 600K clefs\/sec en GPU. 1Password Pro utilise un pin password ou un master password. Ils utilisent MD5 et AES-128 on arrive donc \u00e0 tr\u00e8s rapidement trouver les clefs 15M clefs\/sec sur CPU et 20M clefs\/sec sur GPU. SplashID utilise une clef al\u00e9atoire qui est en fait statique dans la base livr\u00e9e avec l’application. Le mot de passe principal peut donc \u00eatre d\u00e9cod\u00e9 instantan\u00e9ment.<\/p>\n
Les solutions de stockage de mot de passe sur mobile qu’elles soient gratuites ou payantes ne sont pas une mani\u00e8re s\u00e9curis\u00e9e pour stocker vos informations. Dmitry recommande aux d\u00e9veloppeurs d’utiliser les syst\u00e8mes de s\u00e9curit\u00e9 interne aux OS et de ne pas r\u00e9inventer de solutions de cryptage \u00e0 leur mani\u00e8re.<\/p>\n
#HES2012 2012-04-13 13h30-14h30<\/p>\n
Enno nous pr\u00e9sentes 7 clefs de la s\u00e9curit\u00e9, les ACL listes de contr\u00f4les d’acc\u00e8s, l’isolation \/ segmentation, la restriction \/ le filtrage, le cryptage, la protection des acc\u00e8s physiques, l’administration s\u00e9curis\u00e9 et la visibilit\u00e9 des informations. Par le biais d’exemple il va nous expliquer comment se passent des pen tests. Premier cas une soci\u00e9t\u00e9 d’assurance avec 3000 utilisateurs VOIP, possibilit\u00e9 de se branche n’importe o\u00f9 dans le b\u00e2timent. Les scan du r\u00e9seau montre les premi\u00e8res br\u00e8ches du r\u00e9seau interne et permettent de se rebondir entre plusieurs vlans. Un serveur ftp n’est pas tr\u00e8s s\u00e9curis\u00e9 et il se trouve que ce serveur h\u00e9berge une messagerie email sous windows. Lors des tests pour chaque composant critique, il \u00e9tablit un tableau pr\u00e9sentant les risques pour les 7 clefs pr\u00e9c\u00e9demment pr\u00e9sent\u00e9es. Par recoupement d’informations il trouve des correspondances de mots de passe entre les serveurs. Dans un autre exemple de 25K d’utilisateurs VOIP, des mots de passe par d\u00e9faut \u00e9taient pr\u00e9sent sur du mat\u00e9riel du coeur de r\u00e9seau.<\/p>\n
![\"hackito-ergo-sum-2012-8577\"](\"https:\/\/www.digdeo.fr\/articles\/wp-content\/uploads\/2012\/04\/hackito-ergo-sum-2012-8577.jpg\")
<\/p>\n
La conclusion de ses audits c’est que le cryptage ne solutionne pas toute la question de la s\u00e9curit\u00e9 mais est simplement utile. Les solutions Cisco VOIP utilisent des certificats et c’est globalement la seule solution mise en place quand d’autres protections ne sont pas possibles comme le filtrage ou les acl. Le souci entre deux t\u00e9l\u00e9phones c’est que l’on est oblig\u00e9 de faire confiance aux clefs du tiers que l’on connait (sur son r\u00e9seaux) ou que l’on ne connait pas (prestataire, sip externe). La seule solution est d’utiliser un certificat d’autorit\u00e9 connu et valid\u00e9 des deux t\u00e9l\u00e9phones sign\u00e9 par une partie externe. Soit le certificat est en interne dans chaque t\u00e9l\u00e9phone, ou ce dernier est r\u00e9cup\u00e9r\u00e9 sur le r\u00e9seau. Les \u00e9quipementiers utilisent plut\u00f4t la mise en place des certificats dans le mat\u00e9riel. C’est le cas des t\u00e9l\u00e9phones Cisco, les CUCM les managers voip Cisco avec leurs proxy de certificats.<\/p>\n
Des dongles CTL fournis avec les solutions Cisco contiennent des clefs priv\u00e9es servant \u00e0 signer les certificats de la chaines. Dans la documentation Cisco il est pr\u00e9cis\u00e9 que le dongle usb doit rester branch\u00e9 tout le temps et plus loin le mot de passe d’acc\u00e8s est marqu\u00e9 en clair. Daniel prend la parole et nous explique comment fonctionne le CTL. Ce module n’est pas document\u00e9 et il a entreprit de l’analyser. L’analyse du parcours de certification donne des pistes d’analyses et on voit comment le CTL est sign\u00e9 et chain\u00e9. Or le CTL est le seul \u00e9l\u00e9ment utilis\u00e9 pour que le client communique avec les managers CUCM de mani\u00e8re s\u00e9curis\u00e9e.<\/p>\n
![\"hackito-ergo-sum-2012-8579\"](\"https:\/\/www.digdeo.fr\/articles\/wp-content\/uploads\/2012\/04\/hackito-ergo-sum-2012-8579.jpg\")
<\/p>\n
Le but de l’attaque va consister \u00e0 g\u00e9n\u00e9rer et \u00e0 placer de mani\u00e8re dynamique en un faux certificat CTL dans les t\u00e9l\u00e9phones. A partir de cette manipulation on peut alors pousser en TFTP \u00e0 peu pr\u00e8s tout, firmware, configuration sign\u00e9e et faire alors ex\u00e9cuter ce que l’on souhaite au t\u00e9l\u00e9phone. Une d\u00e9monstration est faite sur l’attaque du CTL d’un t\u00e9l\u00e9phone VOIP Cisco. L’attaque consiste \u00e0 faire un man in the middle sur le r\u00e9seau et provoquer le reboot des t\u00e9l\u00e9phones par exemple en coupant l’alimentation PoE. Lors du processus de boot du t\u00e9l\u00e9phone, ce dernier va r\u00e9cup\u00e9rer un firmware sign\u00e9 avec le faux certificat qui fait partie de sa nouvelle trust list. Le t\u00e9l\u00e9phone corrompu appel un autre t\u00e9l\u00e9phone et l’icone indique bien que la communication est crypt\u00e9e mais en amont on voit bien les informations comme les identifiants, les num\u00e9ros utilis\u00e9s et avec un peu de debug les data SIP de la conversation. Les outils mis en place vont \u00eatre mis \u00e0 disposition sous peu, pour faire r\u00e9agir Cisco et pour permettre des audits plus approfondis.<\/p>\n
#HES2012 2012-04-13 14h30-15h30<\/p>\n
L’intervention de Nikita nous a montr\u00e9 diff\u00e9rentes m\u00e9thodes d’analyses de code et de binaire pour trouver des failles de s\u00e9curit\u00e9. Je n’ai pas plus de note ayant du m’entretenir avec une personne.<\/p>\n
![\"hackito-ergo-sum-2012-8580\"](\"https:\/\/www.digdeo.fr\/articles\/wp-content\/uploads\/2012\/04\/hackito-ergo-sum-2012-8580.jpg\")
<\/p>\n
#HES2012 2012-04-13 15h30-16h30<\/p>\n
Georg parle de webkit le framework bas\u00e9 sur KHTML du projet KDE. Chrome, Safari (fixe et mobile) et le navigateur Android utilisent webkit. Il nous pr\u00e9sente l’arbre de rendu fait par webkit, l’ordre des s\u00e9quences, le DOM. Le souci de ce rendu c’est l’allocation et la lib\u00e9ration de m\u00e9moire qui se font tr\u00e8s souvent. Avec diff\u00e9rents sh\u00e9mas, on voit comment l’allocation de m\u00e9moire se fait et comment le vidage peut d\u00e9sordonner les donn\u00e9es. L’avantage c’est que le comportement du vidage de m\u00e9moire est connu donc pr\u00e9visible.<\/p>\n
![\"hackito-ergo-sum-2012-8585\"](\"https:\/\/www.digdeo.fr\/articles\/wp-content\/uploads\/2012\/04\/hackito-ergo-sum-2012-8585.jpg\")
<\/p>\n
Le rendu de l’arbre contient quelques bugs qui ne sont pas backport\u00e9s pour Android, il suffit donc de prendre connaissance du changelog de webkit pour trouver les failles potentielles d’Android. Un \u00e9l\u00e9ment int\u00e9ressant est la possibilit\u00e9 de causer des crash volontaires en donnant des casts invalides ou des confusions de type. Ces crashs vont lib\u00e9rer de la m\u00e9moire et c’est apr\u00e8s cette lib\u00e9ration de m\u00e9moire qu’il va falloir jouer sur les pointeurs restants pour y placer des objets C++. L’exploitation de la m\u00e9moire est facilit\u00e9 sur Android car la m\u00e9moire est en rwx pour les versions <= 2.2.1<\/p>\n
Georg passe \u00e0 une d\u00e9monstration avec un Samsung Galaxy. Il ouvre un navigateur internet et nous pr\u00e9sente le code source webkit qui va \u00eatre servi. Le navigateur crash et produit une erreur typique de page non chargeable. Il nous montre diff\u00e9rentes \u00e9tapes de son code qu’il a fait, des stacks graphiques de debug du rendu de l’arbre et les espaces qu’il a pu cr\u00e9er dans la m\u00e9moire pour mettre ces objets.<\/p>\n
![\"hackito-ergo-sum-2012-8590\"](\"https:\/\/www.digdeo.fr\/articles\/wp-content\/uploads\/2012\/04\/hackito-ergo-sum-2012-8590.jpg\")
<\/p>\n
![\"hackito-ergo-sum-2012-8592\"](\"https:\/\/www.digdeo.fr\/articles\/wp-content\/uploads\/2012\/04\/hackito-ergo-sum-2012-8592.jpg\")
<\/p>\n","protected":false},"excerpt":{"rendered":"
R\u00e9sum\u00e9 de la deuxi\u00e8me journ\u00e9e de la conf\u00e9rence Hackito Ergo Sum 2012 \u00e0 Paris.<\/p>\n","protected":false},"author":2,"featured_media":3043,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[31],"tags":[32,33,34,35,36],"class_list":["post-1378","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualite","tag-conference","tag-hacker","tag-hacking","tag-hackito-ergo-sum","tag-securite"],"_links":{"self":[{"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/posts\/1378","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/comments?post=1378"}],"version-history":[{"count":1,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/posts\/1378\/revisions"}],"predecessor-version":[{"id":3044,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/posts\/1378\/revisions\/3044"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/media\/3043"}],"wp:attachment":[{"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/media?parent=1378"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/categories?post=1378"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/tags?post=1378"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}