Category "Réseaux"

On est neutre, on veut un réseau à l'identique !

Par SwissTengu @SwissTengu @SwissTengu — 2014-03-27T07:10:59
La Suisse est un pays neutre. Comme tel, elle ne prend pas part aux conflits ou autres (oui, enfin, elle vend ses armes, y a pas de raisons…).

Seulement, ce principe de neutralité n'est pas appliqué sur le Net. En effet, comme le montrent certaines offres d'opérateurs mobiles, le principe de Neutralité des Réseaux n'est pas respecté.

//share.tengu.ch/screens/mtv-mobile_.png


Trop chouette, on a droit à du trafic WhatsApp gratuitement en Suisse, et 100Mo de données WhatsApp sont offertes pour nos contacts depuis l'étranger.

Quel est donc le problème, demandez-vous ? Petit apperçu:
- Le fournisseur de service surveille de près ce que vous faites, de manière à pouvoir déduire précisément votre trafic WhastApp.
- Le fournisseur vous pousse, avec ce genre d'offre, à acheter un service tiers — WhatsApp est gratuit la première année, puis coûtera 1$ par an (source). Certes, ce n'est pas une fortune, mais le principe reste douteux.
- Le fournisseur vous pousse à souscrire à une application américaine, fermée, qui plus est rattachée à Facebook, autre plate-forme américaine, connue pour son absence de respect de la vie privée.
- Le fournisseur, en pratiquant ainsi de la différenciation quant aux contenus tout en vous offrant un (petit) avantage financier, vous habitue doucement à ne plus trouver normal d'accéder au Net complet de manière égale et illimitée.

Une douce manière de vous habituer, consommateurs, à voir l'accès à Internet filtré, limité, trié, favorisé au gré des accords entre entreprises privées. On peut aussi être sûr que pas mal de monde va souscrire à ce genre d'abonnement, du fait qu'il reste financièrement intéressant.

Il serait très intéressant d'avoir l'avis du PFPDT par rapport à ce type d'offres. Certes, la neutralité des réseaux n'est pas dans la loi suisse. Mais il n'est pas trop tard pour y songer sérieusement, et faire le nécessaire.

Les partis politiques conscients de l'importance d'un réseau neutre et égalitaire, comme le Parti Pirate, les Verts ou encore les Socialistes, ne devraient pas attendre pour faire des propositions dans ce sens au Parlement. Il faut réveiller nos élus, et les motiver à proscrire les actions poussant à favoriser certains contenus au détriment d'autres.

Sacrifier nos libertés et nos droits au nom de la sacro-sainte économie est une erreur grossière.

More »»

Catégories en relation

Swiss critical infrastructure: Right decision! Wrong implementation!

Par rachyandco — 2014-04-01T12:14:59
So after the whole Snowden revelations (nothing new in reality) thing, the swiss Federal Council seemed, I said "seemed", to have taken a clear decision. From now on, ALL CRITICAL IT INFRASTRUCTURE SHOULD BE SWISS CONTROLED.

Wow. If you don't believe me the decision is here: in German and in French.

So since we had this news, our administration didn't come back on its decision to use for our national phone tapping system an israeli-american solution. In the mean time we also learn that our maybe (not) future jet planes Gripen have a US black box system to be use also for communications.

And now, this is the really new part, the BIT (our national IT super service), is going to implement a full VOIP system.. Cool, no more fixed lines in the whole administration... but for this they will be using Lync from Microsoft.... here is the news...

So this is where I get angry. We are pushing our companies to comply to american law (FATCA), we are even selling our own citizens names to US administration. We are giving all our IT infrastructure to the US including the security certificates. Even one of our national official electronic signature provider is controlled by the US!!!!

What the fuck is happening?????

We are smart enough to make our own decisions. Than we have to be smart to use our own tools! And they have to be modern, transparent, resilient, distributed!!!!

I start to believe it will be easier if we just rebuild our institutions from scratch online.. make the AFK ones obsolete... ;)

More »»

Un petit crawler s'en allait à travers le Net…

Par SwissTengu @SwissTengu @SwissTengu — 2014-04-07T19:31:43
Il y a peu, je me suis mis en tête de faire un petit crawler pour documenter une idée. Ce crawler ne fait rien de bien spécial, il se contente d'aller interroger un annuaire d'entreprises suisses (en fait, l'annuaire central, connu sous le nom de Zefix) et d'agréger des informations basée sur 1-2 autres sites.

Au début, je ne pensais pas trop "éthique". J'avais mon idée, une petite enquête sur une société précise, et les liens que son conseil d'administration pouvait avoir avec d'autres entités privées.

Seulement…

Seulement, ce crawler me montre une chose : n'importe qui peut agréger des données. N'importe qui ayant un minimum de connaissance dans un langage de programmation quelconque (ou ayant les moyens de se payer une telle personne ;) ) peut se constituer une base de donnée, basée sur des contenus accessibles plus ou moins librement sur le Net.
Dans le cas qui m'intéresse, toutes les données sont accessibles sans problème, et me permettent de récolter les points suivants :
nom, prénom
lieu d'origine
lieu d'habitation (avec historique plus ou moins suivi je vous prie)
rôle au sein de l'entreprise (pour autant que ce soit au sein du CA, Direction ou assimilé)

En fouillant un tout petit peu plus, je suis certain de pouvoir aller interroger d'autres sites nettement plus personnels : après tout, fort de ces informations de base, rien n'empêche de remonter sur Facebook, Linkedin ou autres. Absolument rien.

Sauf si…

Sauf si vous ne possédez pas de compte sur ces plate-formes, ou si vous avez réussi à régler votre niveau de protection au plus haut.
Ce qui implique de suivre, jour après jour, les modifications des conditions générales d'utilisation, les modifications automatiques des réglages…

Se protéger sur le Net n'est absolument pas simple : entre les services publics qui publient des choses sur vous (obligés par la loi), les "réseaux sociaux", les "réseaux professionnels" etc, nos données personnelles sont divulguées à tous les vents.
Le pire dans tout ça : dans une grande majorité des cas, la source est nous-même, de part notre méconnaissance de l'utilisation de nos données faites par des services tiers, voire, comble du comble, notre désintérêt quant au devenir de nos données.

À force de voir partout des informations sur tout le monde, on perd la notion de propriété de nos données. On perd cette identité qui nous définit, on perd notre part de "soi". Sous prétexte du "j'ai rien à cacher", on divulgue tout et n'importe quoi, on donne sans discernement. On s'habitue à voir de plus en plus d'entités privées entrer de plus en plus profondément dans notre esprit, notre manière de penser, notre manière d'être, les laissant ainsi nous dicter nos actes au travers de publicités et conseils savament distillés en fonction de nos goûts, de nos envies, de nos visites et relations.

L'humain doit revenir à la réalité. Il doit reprendre possession de son "soi". Il doit trier, filtrer ce qu'il divulgue, pour le salut de sa personnalité. En arriver à tweeter son accouchement montre à quel point on a perdu la notion de ce que sont nos données. Tout comme le buzz actuel sur Instagram, où on nous fait, à nouveau, pénetrer dans l'intimité des gens, une intimité jusque là préservée.

Humains, reprenez vos données. Reprennez conscience de leur valeur, tant morale que financière. Parce que oui, ces données que vous semez à tous les vents se revendent à prix d'or sur les marchés : tout savoir de vous permet d'assurer que vous allez cliquer sur telle ou telle publiciter, valider tel ou tel choix sur un site marchand, permettant ainsi de vous cibler.

Vous êtes une cible. À vous de changer la donne, à vous de reprendre les cartes si maladroitement distribuées.

Réveillez-vous !

T.

More »»

Trois règles simples

Par SwissTengu @SwissTengu @SwissTengu — 2014-04-09T09:51:11
Cette récente information1 nous fait penser qu'il serait nécessaire de rappeler quelques petites règles fondamentales, à appliquer dès qu'on commence à utiliser des services en ligne.
Des règles certes très simples, mais qui semblent trop souvent oubliées au fond d'un tiroir poussiéreux.

Ton mot de passe, unique par service tu choisiras
Un mot de passe, par les temps qui courent, est une donnée volatile, stockée hors de votre contrôle. De manière à éviter qu'un petit malin ne puisse prendre possession de votre vie numérique dans son entier en ayant deviné un seul et unique mot de passe, il convient d'en générer un par service.
Pour cela, plusieurs manières de faire existent :
- utilisation d'un "keyring", une application conservant vos mots de passe, du genre de keepassx
- "dérivation" d'un mot de passe maître en fonction du service, de la date de création du compte etc

La seconde méthode est un peu plus compliquée à mettre en place : il convient d'avoir en tête plusieurs "matrices" permettant de transformer le mot de passe maître en une chaîne de caractères unique. Ces matrices doivent vous permettre de "calculer" le mot de passe. Dans l'idéal, le facteur "temps" doit être pris en compte, de manière à pouvoir changer de mot de passe relativement souvent.

Exemple de "dérivation" :
    Mot de passe d'origine: jaimelestartesauxpommes
    matrice 1 : prise en compte de l'année : 2014 -> 37, 2015 -> 39, … (addition des chiffres de l'année + l'âge qu'on aura l'année en question)
    matrice 2 : prise en compte du service : gmail -> magil, amazon -> zamaon, … (inversion de quelques lettres, mais peut être plus solide)
    matrice 3 : dérivation du nom d'utilisateur : tengu -> grath, michel -> zvpury (vous avez reconnu rot13 j'espère ;) )
Résultat pour un mot de passe créé en 2014, pour amazon, avec l'utilisateur "tartampion@gmail.com" : gnegnzcvba@tznvy.pbzjaimelestartesauxpommes37zamaon

La première manière est, sans doute, la plus simple. Surtout par la présence de services en ligne, du genre de lastPass… Sauf que là encore, au final, votre mot de passe est stocké hors de votre contrôle. D'autres systèmes, comme Keepass, permettent de conserver vos mots de passe sur des appareils que vous contrôlez.

Ton mot de passe, de tes données personnelles tu ne dériveras pas
Il va de soi qu'un mot de passe doit être inconnu des tiers. Le but d'un mot de passe est de vous identifier vous, de manière unique (avec la composante "nom d'utilisateur", évidemment).
Employer comme mot de passe votre adresse, votre téléphone, le nom de votre chat/chien/partenaire/ami/voisine/… ou toute autre date de naissance est d'une stupidité grossière.
Il va sans dire que le gadgets biométriques (bonjour iPhone 5S, bonjour galaxy S4) sont sans doute le pire système : impossibilité de changer l'authentification (à moins de chagner de doigts — donc possibilité de changer 10 fois, maximum 20…), faux sentiment de sécurité (le CCC l'a, une nouvelle fois, prouvé2…) et, accessoirement, la possibilité de voir des données biométriques dans la nature. Woohooo.

Là encore, les solutions présentées plus haut permettent d'avoir des mots de passe assez solides, difficiles à deviner, mais vous permettant de vous en souvenir

Ton mot de passe, une phrase de passe tu en feras
Le problème, avec les technologies actuelles, c'est qu'un mot de passe de 8 caractères est faible. Prenez n'importe quelle machine de travail récente, elle vous l'explosera en un temps record. Certes, différentes manières permettent de protéger le mot de passe (hash, salt etc), mais plus les technologies avancent, plus ces techniques deviennent illusoires.
Maintenant, si vous prenez une phrase, ou une série de mots dont vous seuls pouvez en connaître la teneur et le sens, permet d'obtenir une chaîne de caractères longue, complexe (imaginez avec les accents, ponctuations, differents langues etc), tout en vous permettant de vous en souvenir.
En outre, la dérivation depuis une phrase de base reste possible. Le stockage dans keepass ou autres reste aussi tout à fait possible. Un exemple pouvant tout à fait aller : " Pferd Tier boire manger Wasser Nicht Karotten Stall dormir poulin". Cette suite de mot ne veut rien dire, mais peut vous évoquer quelque chose. Pour illustrer la chose, je vous renvois sur le site de XKCD3 ;).

De manière générale, il convient aussi de changer régulièrement de mot de passe. On entend assez souvent des histoires de bases de données utilisateurs dans la nature, de fuites de mots de passe et autres informations personnelles.

Le dernier exemple en date, la faille OpenSSL Heartbleed4 permettant, entre autre, de voir des identifiants fuiter, permet de mesurer l'ampleur de la tâche quand on parle de la sécurisation des données.
Certes, cette faille fait peur à cause des implications qu'elle a pour les services bancaires en ligne, mais il ne faut pas s'arrêter à ça : Twitter, Steam, DropBox et tant d'autres services en ligne du genre semblent être vulnérables. Imaginez la mine d'informations que ces services représentent. Pas seulement des informations financières (allons, ne faites pas les innocents, vous avez déjà déposé des documents financiers dans votre dropbox ;) ), mais aussi des données personnel : photos, messages, documents. TOUT serait, potentiellement, disponible.
Et ce depuis plusieurs mois, voire années…

Aussi, un service de la Confédération est dédié à surveiller ce qu'il se passe sur le Net. Il est recommandé de suivre leur site5 ainsi que leur page facebook6 (argh, oui…)

Alors, prêt à regénérer vos mots de passe et, surtout, à passer à des phrases de passe ?

More »»

Catégories en relation

SmartTV vs SmartUsers

Par SwissTengu @SwissTengu @SwissTengu — 2014-04-14T04:55:03
C'est pratique, hein, une TV connectée. Une app à installer, et on a accès à un catalogue de vidéos. Sans parler du contrôle de la TV depuis son smartphone, ou que sais-je encore.

Mais, comme d'habitude, on perd de vue 1-2 choses, devant le côté pratique de ces appareils… Chaque fois qu'on nous simplifie la vie, il faut se demander "pourquoi". Qu'est-ce que les constructeurs ont à gagner, réellement, en offrant telle ou telle fonction ?
Et, plus particulièrement, "comment la financent-ils ?"

On l'a déjà vu passer sur le Net : certains constructeurs ne sont pas très au fait de la sécurité, permettant ainsi des fuites de données depuis leurs TV1.

"Mais… une TV ne possède aucune donnée ?!"
Oui, mais, en fait… Si : vos goûts, vos horaires voire, si votre TV possède une caméra2, votre image3, votre logement. Autant d'informations pouvant intéresser du monde et, comme vous le verrez, pas forcément que les constructeurs…
Sans parler même du fait que ce genre d'appareil va se mettre à l'écoute de votre réseau pour :
    découvrir les différents services (DLNA4, ça vous parle ?)
    découvrir vos partages windows (protocole SMB5)
    … sans doute d'autres choses du genre, pour vous simplifier la vie, évidement
De même, il accédera à Internet pour effectuer ses mises à jour. Entre autres.

"Oui mais, enfin, ça leur rapporte quoi ?"
Savoir que tel ou tel film/série/documentaire a été vu par telle catégorie de personnes (le modèle de votre TV fixe le prix donc, potentiellement, votre classe sociale) peut représenter un intérêt certain. Une interaction "future" serait, pourquoi pas, trouver le meilleur moment pour vous balancer une publicité susceptible de vous intéresser (la caméra peut remonter votre niveau d'attention en fonction de vos yeux, de ce que vous faites etc).

":( … et qui d'autre pourrait être intéressé ?"
Si la TV remonte votre activité (i.e. si vous êtes là ou non), vu le niveau de sécurité de la majorité des réseaux domestiques (et d'entreprise…), un simple sniffing permettrait de savoir de façon précise si vous êtes chez vous, si vous êtes là à certaines heures uniquement (et lesquelles) etc. Le genre de personne intéressé par ça : démarcheurs, cambrioleurs etc6
Oh, et, bien entendu, l'organisme chargé de percevoir la redevance TV, tant qu'on y est : imaginez la simplicité de savoir si vous avez un écran juste en voyant passer ce que ce dernier leak comme informations… (Bon, en vrai, la modification de la LRTV fera que tout le monde paiera la redevance7 — on reviendra d'ailleurs sur 2-3 points).

"Mais pourquoi on ne nous avertit pas à l'achat ??"
Simple : qui s'en soucie, réellement ? Pourquoi se tirer une balle dans le pied en avouant que la sécurité a été mise de côté pour réduire les coûts de développement, pourquoi laisser entendre que des contrats pouvant potentiellement mener à l'exploitation de données collectées à votre insu ont été passés ?

De toutes façons, vous n'avez rien à cacher, si ? ;)

Moralité : avoir un appareil intelligent, c'est bien. Mais à condition que nous, utilisateur final de l'appareil en question, soyons plus intelligent que lui.

More »»

MELANI au coeur de la Stratégie nationale de protection de la Suisse

Par moustik @seba_schopfer @seba_schopfer — 2014-05-02T18:48:22
J'ai eu sur l'écran le rapport "Stratégie nationale de protection de la Suisse contre les cyberrisques" (SNPC)

Rapport annuel 2013 du comité de pilotage de la SNPC.

Il est très intéressant et rapporte de manière très complète les structures de MELANI et autres protocoles mis en place concernant la prévention, l'observation, la réaction des risques et menaces sur le web ainsi que les acteurs (économiques et étatiques) et leur résilience. Je reste quand même un peu sur ma faim car ce rapport d'activité est déjà, si j'ai bien compris, un peu obsolète dans la gestion des risques sur le web car il reste sur une vision de réseautage des risques.

Il ne fait aucune mention ni de listing des nouvelles menaces identifiées (smartphones, appareils physiques connectés comme les appareils d'assistance médicale) et ni des moyens mis en place ou des processus d'études de protection de ces moyens. Bien qu'on trouve l'explication sur les processus d'identifications des nouvelles menaces et de consolidation des réseaux, les termes "internet" et "cyberespace" se cantonnent à la structure des réseaux sociaux et à l'utilisation de la technologie de l'information et du média (TIC). C'est déjà une erreur quand on sait que les appareils ménagés sont connectés.

De nos jours, le cracking, le hacking, le fishing ne touchent pas uniquement le cyber-espace et les TIC, mais bien les objets du quotidien. Le rapport se focalise beaucoup sur les risques macros, tels que les structures de fournisseurs (électricité, eau, etc..) englobant de ce fait le risque général sur la population. Le rapport explique de manière générale, le risque, la menace, mais ne fait pas mention des risques micros, par exemple le vol généralisé via la technologie NFC.

Les termes de définition étant globaux (cyberrisques), on peut supposer que ces risques et menaces sont déjà pris en compte ou à l'étude. Mais alors, où se trouve les listings permettant aux citoyens et aux entreprises de s'informer ou de voir l'évolution ? Je ne vois pas d'organe d'information du citoyen autre que MELANI dont la publicité est inexistante, ni de listing publics des menaces. Est-ce que cette structure n'a au final de but que de reléguer l'information et les outils aux entreprises sans que le citoyen ne puisse lui-même agir ou faire partie intégrante du processus d'information ?

Voici là seule page d'alerte possible pour le citoyen souhaitant participer à la protection de la Suisse et de sa population. Personnellement je la trouve plutôt invisible quand on sait qu'il faut être très réactif concernant les menaces du web et la détection des nouvelles menaces du web. Il n'y a pas d'explicatif et d'invitation participative concernant les tendances et nouvelles menaces.

Qui plus est, je reste un peu dubitatif concernant la page d'annonces et études par MELANI. Où se trouve le laboratoire des dernières menaces détectées ? Qui sont les protagonistes étudiants ces menaces ?

Pourquoi personne n'ose dire à nos politiciens en place que l’État ne doit pas être réactionnaire mais proactif concernant la sécurité du web et de la connectivité? Le monde numérique bouge très vite. Les moyens de défense doivent donc anticiper les menaces et les nouvelles menaces avec la participation du citoyen qui est acteur plus que n'importe qui du cyber-espace et du détournement des outils économiques et sociaux. Les moyens traditionnels ne s'appliquent pas à l'univers du cyberrisque. Le traitement de l'information à fait évoluer le rôle du citoyen. MELANI doit donc plus que tout prendre en compte celui-ci, tout autant que les écoles, les entreprises et les organes étatiques.

MELANI est jeune et nous devons l'aider à être plus réactif et surtout à évoluer afin d'être un outil au service du citoyen et pour le citoyen autant que pour la protection de l'état et de son territoire.

More »»

Catégories en relation

SSL ou l'absence de la moindre assurance

Par SwissTengu @SwissTengu @SwissTengu — 2014-05-19T07:26:27
SSL. Heartbleed. TLS Triple Handhshake. gnuTLS. Des noms, des abréviations, des failles, des trous de sécurité. 

Ils font les gros titres, ou restent invisibles pour les personnes non-techniques, ou les simples utilisateurs. 

Pourtant, il est nécessaire de comprendre comment tout cela marche, ce que c'est réellement, pour comprendre pourquoi et comment ces "trucs" sont censés nous protéger — que ce soit des données transmises à notre banque, ou simplement protéger le fait qu'on est sur, au hasard EthACK, à lire un contenu quelconque. 

Le document va se découper en 5 parties : 
  • HTTPS: à quoi ça sert, en fait ? 
  • HTTPS: le petit cadenas, et sa signification 
  • Explications des attaques possibles sur une connexion "sécurisée" 
  • Certificats invalides : comment se comporter
  • Extensions utiles pour Firefox et Chromium 

HTTPS : son utilité
Au début d'Internet, tout était plein de bisounours, de poney et de licornes. Rien n'était chiffré, c'était la fête du slip, de toutes façons il y avait quoi, 100 personnes capables d'employer le Réseau. Puis ça s'est démocratisé. Et l'humain étant ce qu'il est (curieux, fouille-merde etc), on s'est rendu compte qu'il faudrait sécuriser un poil les choses, entre autres chiffrer les communications.  HTTPS1 est né.

Le petit cadenas que vous voyez dans votre navigateur a plusieurs significations : il vous indique que la connexion est chiffrée, ET que le site possède un certificat signé par une autorité ET que votre système (ou du moins votre navigateur) reconnaît cette autorité comme "valide". 

Cool, donc on a une chaîne de confiance complète. Oui, mais. 

Le problème, c'est l'empilement de significations : dans le cas d'un certificat auto-signé (self-signed certificate), le navigateur va vous hurler dessus, parce que seule le premier point est valide; le reste, par contre, "booohh je connais pas, alors je te plante un bon gros avertissement". 
Et c'est là que le bât blesse. Et c'est là que se pose tout le problème de la conception même du truc. 

SSL (et HTTPS par extension logique) repose sur la confiance. On a des autorités de certification (grosses entités, du genre de Norton, StartSSL, Komodo etc) qui ont réussi à convaincre qu'elles sont biens, qu'elles suivent les règles, et qu'on peut leur faire confiance. Partant de là, la plupart des systèmes et des navigateurs intègrent directement leur certificat d'autorité. Un système Debian de base possède plus de 400 certificats d'autorité, signifiant qu'il fait d'office confiance à plus de 400 entités. Dont VOUS, utilisateurs, ne savez rien ou presque. 

Vu que c'est basé sur la confiance, un certificat auto-signé débarquant comme un coquelicot dans un champ de maïs va faire un peu tache : on ne le connaît pas, on ne sait pas qui c'est, on ne sait pas le niveau de confiance qu'on peut lui accorder. Pensez, un étranger, ça ne peut qu'être mauvais2
Forcément. 

Du coup, vous ramassez un warning. Et, comme vous ne savez pas trop ce que c'est, que, comme la plupart des gens, vous cliquez sur "OK" au moindre message de votre système (allez, avouez), vous allez forcer votre navigateur à passer outre. Et là, en fait, vous êtes potentiellement dans la merde.

HTTPS, le petit cadenas
Comme dit précédemment, le cadenas signifie que la connexion entre votre navigateur (Firefox, Chromium, Safari etc) et le site que vous visitez est censée être chiffrée (et authentifiée par une entité tiers que vous ne connaissez pas).
Cela implique, logiquement, que personne ne peut venir écouter ce que vous faites. Dans un monde idéal, si votre fournisseur d'accès se met à écouter votre trafic, il ne pourrait voir passer que des connexions vers des adresses IP, sans savoir quel site vous visitez réellement. 

En simplifiant, une connexion HTTP standard se fait ainsi : 
  • le navigateur demande au système "hey gros, c'est quoi l'IP de www.ethack.org ?" 
  • s'ensuit une résolution DNS interne (le système a la réponse en cache, ouva demander plus loin) 
  • le navigateur ouvre une connexion (socket) vers le serveur répondant à l'IP, et lui envoie ensuite des informations, appelées "header  HTTP"  

Parmi ces headers, "Host" est celui qui permettra au serveur de savoir quel site est appelé. C'est pratique dans le cas où plusieurs sites sont hébergés sur le même serveur. 

Dans le cas d'une connexion HTTPS, donc chiffrée, les headers sont envoyés à travers le tunnel SSL créé lors de la connexion initiale. C'est donc protégé contre les écoutes indélicates 

Du moins, c'est la théorie… 

Les attaques
MitM. Drôle d'acronyme hein ? Sa signification est nettement moins sympa : Man in the Middle, littéralement "l'homme du milieu". De quel milieu ? De votre connexion. En effet, cette attaque permet à quelqu'un de se mettre entre vous et le serveur, et d'écouter ce que vous faites. 
Hmm… mais… attendez. On a dit tantôt que la communication était chiffrée, et donc évitait ce genre de trucs… Comment que c'est-y-tu-donc possible ?! 

Plusieurs manières permettent de faire un MitM avec succès. En voici X des principales : une demandant à l'utilisateur de réfléchir, l'autre lui demandant d'être prudent de manière générale. 

Le certificat auto-signé
C'est la plus simple, et celle qui s'évite le plus facilement : votre navigateur va lever une alerte rouge vif en expliquant que le certificat n'est pas valide. En regardant les détails, vous apprendrez qu'il est signé par une autorité inconnue, voire pas du tout signé. Vous allez donc accepter le certificat les yeux fermés, comme d'habitude… ? 
Non. 

S'il s'agit d'un site officiel, par exemple votre banque, ou un site de l'état, ou un site marchand, accepter ce certificat et passer outre vous expose à un vol de données (au minimum). Par contre, s'il s'agit de votre site personnel, ou du site d'un pote (qui vous a averti que le certificat était auto-signé)… il est possible de passer outre l'avertissement. 
Mais ça demande un poil de réflexion et de logique. 

Le certificat volé
Hey, vous vous souvenez de Heartbleed ? Des clefs privées (le truc qui n'est pas censé se trouver dans la nature) ont été volées3. Ce qui permet de remonter un site avec le certificat et la clef volée en moins de 10 secondes. Et, en plus, d'avoir un certificat *valide*. 
Hmm… attendez. Donc on peut se retrouver avec un certificat valide mais qui est pas valide ?! Ouep. Et Heartbleed n'est pas le seul moyen de le faire. 

Mais… et la chaîne de confiance ?! Bah elle est brisée. 

Suite à Hearbleed, les différentes mesures aurait dû être prises par les sites sérieux : 
  • mettre les serveurs à jour immédiatement 
  • générer de nouvelles clefs privées et certificats 
  • révoquer les anciens certificats 
  • communiquer sur le problème et la résolution de manière complète
  • contrôlent que les certificats soient valides de manière approfondie suite à ce genre de problèmes. 

Seulement… Cela n'a pas été fait partout : 
  • certains sites n'étaient pas affectés par la faille (mais communication absente — que croire, que faire ?!) 
  • certains sites n'ont pas révoqués les certificats (mais les ont quand même changés, c'est déjà pas mal) 
  • certains sites n'ont pas encore fait les mises à jour (un sacré paquet à ce qu'on dit) 

Dans tous les cas : la communication était absente, vaseuse au mieux. Les révocations, si elles ont été faites, ne sont prise en compte que dans Firefox, ce dernier étant configuré par défaut pour prendre en compte les CRL, Certificate Revocation List, des autrités de certifications. Chromium possède cette option, mais elle n'est pas activée par défaut. 

Ce qui signifie une chose assez grave, en fait : la chaîne de confiance est cassée (encore…). L'utilisateur standard n'a AUCUN moyen de réellement s'assurer que son site bancaire est bien le bon, que personne n'écoute ses communications. 

Et il y a les trucs funs, genre la dernière trouvaille au niveau du protocole TLS, employé pour ainsi dire partout (pour une fois que tout le monde ou presque se met d'accord, faut évidemment qu'il y ait un truc vaseux…). 
Ou encore des virus/vers/troyens qui installent des certificats à votre insu, évitant ainsi à votre navigateur de lever des alertes sur les certificats auto-signés…

Bref. Les accès chiffrés, c'est bien, mais on ne peut simplement pas faire confiance. Actuellement, il faut contrôler les dates de création des certificats, le signataire, et encore bien d'autres choses si on veut bien faire. 

Heureusement, certaines extensions Firefox (et normalement aussi disponibles sur Chromium) peuvent nous aider dans cette tâche (on en verra un peu plus bas). 

Comment se comporter face à un certificat détecté comme faux
Comme mentionné plus haut, il n'y a pas 42 façons de se comporter : par défaut, "fuir". Si on ne comprend pas, si on ne sait pas, on ne va pas sur le site. Point. 

Si, par contre, on a le temps d'analyser et de comprendre, on peut se risquer à ne pas fuir de suite : une analyse attentive du problème peut, dans certains cas, mener à avertir l'éditeur du site pour lui signaler que son certificat est faux/mal installé/échu ou autres. Ça m'est déjà arrivé de le faire. Plus d'une fois. 

De manière générale, sur Firefox, on a la possibilité de contrôler le certificat avant de l'accepter. Cela nous donnera la raison précise de l'erreur relevée. Mais, comme dit plus haut : dans le doute, refuser. Il en va de la sécurité des données que vous seriez amené à transmettre, de la sécurité de vos communications. Un certificat invalide n'est pas anodin.

Les extensions
La première qui vient en tête, c'est Certificate Patrol4. Elle va se charger automatiquement de quelques checks, vous simplifiant la vie et améliorant ainsi la sécurité. 
Elle ne fera pas de miracle, mais vous permettra de savoir quand un site change de certificat (en vous montrant les différences au niveau des dates, autorité de certification ou autres). Elle note aussi le risque que représente le changement d'un certificat, par exemple s'il arrivait à échéance le niveau sera moins élevé que s'il avait été émis quelques jours plus tôt, puis remplacé. 
Le seul problème avec cette application est le niveau de verbosité : vous risquez d'être assez vite dégoûté du nombre de popups qu'elle crée, surtout si vous employez google, facebook ou autres gros sites du genre, qui semblent incapables d'avoir le même certificat sur leurs différents points d'entrée (un comble…). 

Une autre extension, HTTPS Everywhere5, est un bon complément à la précédente : elle vous fera passer automatiquement à la version SSL du site quand disponible. Le seul problème : elle se base sur une liste définie de sites — elle n'ira par exemple pas chercher toute seule si un site propose une version SSL ou non. D'un autre côté, pour avoir testé une extension qui faisait cela, ce n'est pas plus mal : certains sites ne fournissent pas le même contenu en SSL, voire sont cassés… Autant dire que ce genre de choses ne devrait pas exister à l'heure actuelle !

En conclusion
HTTPS, c'est joli, ça part d'un bon sentiment. Mais, de par le fonctionnement même de la chose, ça ne peut plus marcher. On sait, en tous cas depuis les révélations de Snowden, que la confiance ne suffit plus. Quand vous allez sur le site de votre banque, il vous fut procéder à quelques contrôles. Quant vous recevez un mail soi-disant de votre banque, ou de facebook ou autres, il vous faut avoir un esprit critique. Vous ne pouvez tout simplement plus cliquer aveuglément partout.
Ouvrez les yeux, soyez attentif. C'est, à l'heure actuelle, la seule manière d'éviter les pièges évidents. Et même ainsi, personne n'est à l'abri d'une erreur.

More »»

Catégories en relation

Est-ce que les banques Suisses, et leurs clients ont été espionnées par les Etats-Unis?

Par gabriel.klein — 2014-05-26T06:31:35
Nombreuses ont été les entreprises Suisses à subir les foudres des Etats-Unis. UBS, Crédit Suisse et prochaine victime, les caisses de pensions.

Le but de cet article n'est pas de blanchir les banques... Elles ont agi de manière particulièrement stupide et doivent en assumer les conséquences. Quand votre environnement change, une société intelligente doit savoir s'adapter rapidement – or là, elles ont profité de la débâcle de l'UBS pour récupérer ses clients « toxiques » au lieu de se faire discret. 

Cet article ne va pas vous donner de réponse, car je n’en ai pas! Juste parler de ce qui est technologiquement possible et d'exemples dans lesquels certains outils ont été utilisés par les États-Unis pour mettre en place une surveillance massive.

Mais on peut quand même citer Glenn Greenwald :
« Il y a en outre des indices que la NSA a espionné le système bancaire helvétique. Les services secrets américains ont montré un grand intérêt notamment aux flux monétaires, signale le journaliste américain. »
http://www.lematin.ch/monde/suisse-doit-accorder-asile-snowden-estime-journaliste/story/27940069

Revenons quelques années en arrière! Je suis les États-Unis, des avions viennent de s'abattre sur des tours. Je deviens alors parano et désire mettre en place des outils me permettant de combattre le terrorisme. C'est pour cette raison qu'a été signé le Patriot Act. http://en.wikipedia.org/wiki/Patriot_Act https://ethack.org/article/43/le_patriot_act_ce_n_est_pas_juste_un_nom

Le Patriot Act c'est quoi? C'est entre autre donner aux services de sécurité (NSA), sans autorisation préalable et sans en informer les utilisateurs, d'accéder aux données informatiques détenues par les particuliers et les entreprises. Cela permet aux services secrets américains d'obliger les sociétés américaines à leur donner accès à tous les moyens permettant d'espionner des utilisateurs étrangers. Accès aux mails envoyés par Google, accès à vos communications Facebook, accès à vos communications Skype (dont le prix d'achat de $8.5 milliards a étonné beaucoup de professionnels… http://www.wired.com/2011/05/microsoft-buys-skype-2/ ), accès à votre ordinateur / système d'exploitation, accès à votre téléphone mobile, et la liste est encore longue!

Je suis la NSA, on me demande rapidement de trouver et prévenir d'éventuelles attaques. Quel va être ma première action? Trouver les flux financiers! C'est-à-dire mettre les banques sous écoutes.

Les banques Suisses sont une cible de choix!
www.swissinfo.ch/eng/politics/internal_affairs/Spies_target_banks_for_the_secrets_they_hold.html?cid=7493558

Première solution... pourquoi chercher trop loin. Swift est un traité entre l'union européenne et les Etats-Unis leur permettant de voir les transferts inter-banques.
http://www.spiegel.de/international/europe/nsa-spying-european-parliamentarians-call-for-swift-suspension-a-922920.html et http://fr.wikipedia.org/wiki/Accord_Swift
Les pays offrent les informations dont j'ai besoin sur un plateau doré... pourquoi ne pas en profiter!

Deuxième solution... Travailler avec Microsoft et Apple pour intégrer dans leur système d'exploitation des chevaux de Troie permettant de tracer toutes les données.
http://fr.wikipedia.org/wiki/NSAKEY http://www.forbes.com/sites/erikkain/2013/12/30/the-nsa-reportedly-has-total-access-to-your-iphone/. Facile, mais cela veut dire que tous les utilisateurs vont transférer des données étranges hors de leur téléphone ou ordinateur. Ce n'est pas très discret, et il y aura toujours des gens qui vont se demander par exemple pourquoi Apple gardait l'historique du déplacement des utilisateurs... http://www.theguardian.com/technology/2011/apr/20/iphone-tracking-prompts-privacy-fears

Si Microsoft ou Apple refusent de collaborer, pourquoi ne pas utiliser un programme qui voit déjà tout ce qui passe entre votre ordinateur et Internet. On a presque tous un anti-virus à l'exemple de Norton (Symantec), et/ou un firewall. Ces outils sont, par conception, obligés de vous espionner pour voir si il n'y a pas quelque chose en train de vous attaquer - ils sont ainsi très bien placés. Mais est-ce que leur seule fonction est vraiment de vous protéger?

Troisième solution... Cette solution est théorique, et je suis certain que les Etats-Unis nous considérant comme alliés n'ont pas implémenté cette possibilité! Ils n'espionnent pas leurs alliés (ironique)! http://www.dw.de/report-nsa-spying-on-merkel-aides/a-17452381

Mon but en tant que la NSA est que la solution soit discrète et que je puisse lancer des programmes d'espionnage sans que personne s'en rende compte!

Ma première étape sera de détourner tout le trafic entre les utilisateurs et ma cible. Par exemple le Crédit Suisse! Pour y arriver j'aurais premièrement besoin de modifier les routeurs afin qu'ils fassent passer toutes les communications qui arrivent sur une banque par mes propres ordinateurs. Lorsque vous allez sur Internet, votre communication passe par plusieurs "routeurs" qui prennent ce que vous envoyez et le redirige au bon endroit. Par exemple pourquoi ne pas modifier les routeurs soit en demandant à l'entreprise qui en fabrique le plus (CISCO) de le faire, soit en installant une version alternative du logiciel qui tourne sur ces routeurs. http://pro.clubic.com/it-business/securite-et-donnees/actualite-702087-nsa-soupconnee-installe-logiciels-espions-routeurs-fabriques-usa.html http://freedomhacker.net/2014-04-router-firmware-built-with-backdoor-vulnerability-tcp-32764-reactivated

J'ai maintenant la possibilité de voir tout ce qui arrive sur une banque, une administration Suisse! Mais tout est chiffré...

Mon second problème est de rendre cela plus discret. Envoyer pleins des paquets aux Etats-Unis, c'est pas vraiment très discret! Le plus simple est d'installer des machines qui espionnent directement en Suisse. Pas trop loin des banques! Après j’envoie régulièrement un résumé des transactions entre les clients et leur banque: cette personne a envoyé cette somme d'argent à cette autre personne.

Cette attaque est nomée : man-in-the-middle.

Heureusement la communication est chiffrée par du HTTPS / SSL. L'idée du SSL c'est que vous avez une autorité tierce (il y a environ 500 autorités de certifications). Par exemple la plus populaire est Verisign (appartenant aussi à Symantec qui fait Norton). Ces autorités ont signé un "deal" avec par exemple Mozilla, Microsoft et Apple pour qu'elles soient considérés comme étant des partenaires de confiance. Quand vous allez sur l'UBS, vous allez être certain que vous communiquez bien avec l'UBS et non un hacker – car Verisign le certifie ! Verisign est une société Américaine, donc soumise au Patriot Act;) ( https://ethack.org/article/48/ssl_ou_l_absence_de_la_moindre_assurance )

Une solution serait d'avoir un faux certificat signé dans notre cas par verisign. (J'utilise une approche similaire pour faire du développement: http://portswigger.net/burp/help/proxy_using.html ). Je pense discuter avec la banque, mais en fait je discute avec un serveur de la NSA (certifié par verisign). Derrière le serveur de la NSA discute avec la banque en se faisant passer pour moi.

Je pense : Utilisateur → {internet} → https://www.ubs.com – Certifié par Verisign

En réalité : Utilisateur →{internet, Certifié par Verisign} → NSA →{internet, Certifié par Verisign} → https://www.ubs.com

SSL est un très bon moyen de vous protéger contre les hackers, mais est-ce que c'est un bon moyen de vous protéger contre les Etats? Non!

Une fois que l’on a volé ou pris des informations, surtout à vos alliés, il faut blanchir ces informations. Est-ce que le piratage des données bancaires a initié une initiative de blanchiment appelée “FATCA”? FATCA permet de légitimiser les informations collectée, et de pouvoir les utiliser au niveau légal. L’espionnage permet d’évaluer les impacts, et savoir contre qui diriger ses “canons” légaux.

http://fr.wikipedia.org/wiki/Foreign_Account_Tax_Compliance_Act


Est-ce que cela veut dire que je ne dois plus utiliser Internet?

Non! Cela veut simplement dire qu'on doit savoir que ce qu'on fait actuellement sur Internet peut être intercepté par un État tierce. Qu'il ne peut pas utiliser ces données ouvertement. Faire par exemple un payement sur Internet reste une opération sans trop de risques. Leur but n'est pas de vous vider votre compte bancaire (pour l'instant...)


Comment fixer Internet?

Internet est basé sur l'idée qu'on fait confiance à énormément de sociétés. Microsoft, Apple, Google, Swisscom, Cisco, Symantec (Verisign, Norton), Komodo.

Dans l'état actuel, Internet ne peut pas être fixé si ce n'est installer des logiciels tiers (donc faire confiance encore à d'autres sociétés). Une première étape est d'utiliser Linux, par exemple http://www.ubuntu.com


Marché libéral ?

Pour citer un article :
«Le fait est que la NSA cible certains secteurs qui sont souvent en concurrence avec des entreprises américaines», fait remarquer Glenn Greenwald. Il faut être très naïf, dit-il, pour croire qu'elle ne le fait pas pour obtenir des avantages économiques.
http://www.lematin.ch/monde/suisse-doit-accorder-asile-snowden-estime-journaliste/story/27940069

Il ne faut pas se faire d'illusion. Dans certains domaines « critiques » à l’exemple de la finance et des systèmes de communication, les US n'hésitent pas à tricher. Ils appellent cette triche brevets, jury populaires, sécurité nationale, évasion fiscale, etc

http://www.regards-citoyens.com/article-quand-la-nsa-pipe-les-des-ce-que-les-tres-grandes-oreilles-de-washington-conferent-comme-pouvoirs-120733910.html

On peut parler d'Huawei qui ne peut plus vendre aux Etats-Unis pour « risque à la sécurité ». Les Etats-Unis avaient vivement déconseillé à leur alliés d'utiliser les produits d'Huawei. Est-ce que c'était pour pourvoir continuer à les espionner ?
http://spectrum.ieee.org/tech-talk/computing/hardware/us-suspicions-of-chinas-huawei-based-partly-on-nsas-own-spy-tricks
http://gizmodo.com/5932204/should-the-world-be-scared-of-huawei

On peut parler des cartes biaisées entre Samsung et Apple par les Etats-Unis avec des brevets utilisés comme arme pour faire du protectionnisme biaisé.
http://lexpansion.lexpress.fr/high-tech/proces-apple-samsung-les-zones-d-ombres-du-verdict_1339203.html

Et est-ce que les attaques contre les banques Suisse n'ont pas pour but de les faire sortir du marché Américain ? La finance étant un secteur « critique » pour les USA.


Conclusion

On a vu:
- Que les États-Unis ont le besoin de mettre les banques Suisse sous écoute.
- Qu'ils en ont la possibilité technique avec la complicité de sociétés américaines.
- Que les sociétés américaines sont obligées de participer (Patriot Act)
- Que les États-Unis ne peuvent pas utiliser d'éventuelles données collectées ouvertement. Ils doivent « blanchir » les données. Ce qu’ils font au travers de traités comme FATCA.
- Que les États-Unis sont particulièrement virulents contre les banques Suisses, comme s’ils avaient des informations évaluant les "dommages".

En résumé pas de preuves directes... mais des éléments qui concordent.

Pourquoi cela nous touche aussi?
- Car on risque de devoir passer à la caisse au travers de l'État... pour renflouer des banques.
- Car on risque de devoir passer à la caisse directement au travers de nos comptes bancaires, de taux d'intérêts moins attractifs.
- Car les banques peuvent déduire les amendes de leurs impôts – donc c'est des centaines de millions qu'il faudra financer autrement.
- Les USA attaquent aussi les banques cantonales, donc l’actionnaire principal est les cantons. Qui dit pertes dans les banques cantonales dit potentiellement augmentation des impôts cantonaux.
- Car certains fonds de pensions Suisse vont devoir payer des amendes, donc être renfloués ou payer moins d'argent à des individus en Suisse.
- Car il y a nombre de Suisses qui ont aussi la nationalité américaine et qui ne peuvent plus ouvrir de comptes dans leur propre pays!


Note

Merci aux quelques personnes qui m’ont donné un retour sur le texte!

More »»

OnionShare — la fausse bonne idée

Par SwissTengu @SwissTengu @SwissTengu — 2014-06-04T08:22:21
On en parle dans certains milieux, comme "la" solution pour transmettre des documents confidentiels pouvant servir de base pour des leaks.

Mais une série de questions se posent :
  • Est-ce que cette solution est réellement bonne ?
  • Est-ce qu'elle répond réellement à un besoin ?
  • Est-ce qu'elle ne crée pas plus de problèmes qu'elle n'en règle ?
  • Quand, comment et dans quelles conditions employer cela ?
  • J'ai mon .onion, j'en fais quoi maintenant ?

Il y en a tout un tas d'autres, mais celles-ci sont sans doute les plus importantes, car elles souvlèvent 2-3 problèmes au niveau de la communication sur OnionShare1.

OnionShare, la bonne solution?
Oui et non : ça permet de simplifier la mise en place d'un service caché2 sur le réseau TOR, mais ne règle en tous cas pas l'extraction des données. Imaginez un Snowden en train de faire tourner TOR sur son ordinateur au boulot… Ou sur le laptop d'entreprise qu'on lui a fourni… Les réseaux contenant des données sensibles sont (normalement) surveillés de près, pour éviter des intrusions3 ou, justement, des fuites. Le cloisonnement des accès réseau est aussi de mise en général, tout cela mis bout à bout rend l'utilisation de TOR (ou tout autre service "bizarre") suspect aux yeux des administrateurs réseau, qui n'hésiteront pas à sonner la charge en cas de doute.

Employer TOR sur le réseau de son entreprise4, c'est le meilleur moyen de se faire déboulonner dans les 30 secondes qui suivent le lancement du service.Il convient donc de définir clairement le périmètre d'utilisation de cet outil.

Le besoin
Le besoin auquel est censé répondre OnionShare n'est pas clairement défini : "partagez des fichiers de manière sécurisée"… Cool. Mais dans quel contexte ? Comme expliqué plus haut, cette solution ne peut pas répondre au besoin d'extraire les documents. Elle ne peut répondre qu'à "envoyer les documents à des tiers", et ce uniquement une fois qu'on les a sorti de là où ils étaient avant.

À ce niveau, ne pas délimiter le besoin en présentant l'application peut avoir de graves conséquences pour l'utilisateur : s'il se dit juste "ah cool je serai anonyme via ça pour sortir des secrets de mon lieu de travail", il se foure le doigt dans l'œil. Le manque d'information concernant les risques pose un réel problème — problème qu'on retrouve dans la grande majorité des services et solutions techniques proposées ces derniers temps : quel besoin couvrent-elles réellement, et est-ce que ce besoin correspond bien au mien, dans quel contexte son utilisation ne m'expose pas plus que sans passer par elle… etc.

Les problèmes que cette solution pose
Comme précédemment dit, cette solution technique pose pas mal de problèmes : le contexte d'utilisation, le fait qu'on passe par de multiples couches logicielles qu'on ne comprend pas forcément, l'absence de guide et d'explications concrètes font qu'il serait mieux, à mon sens, de décourager l'utilsation d'OnionShare pour les néophytes. Le problème étant que, justement, OnionShare s'adresse aux néophytes…
Il est fort dommage de ne pas disposer d'une meilleure documentation de la part de l'auteur de ce script, qui se contente de balancer son projet sans aucun support réel.
C'est même criminel, en fait…

Contextes d'utilisation
Comme annoncé, cette solution ne s'utilise pas n'importe comment : de manière à éviter de se faire repérer, il conviendra de ne pas l'utiliser depuis son lieu de travail; à la rigueur depuis la maison, et encore. Aussi, on évitera de l'utiliser dans l'état sur une machine appartenant à son employeur… À moins de passer par Tails5, qui permet de s'isoler du système installé et de ne pas laisser de trace (du moins rien de flagrant).
Comme il s'agit tout de même de lancer un serveur web et de monter un nœud TOR, il faut faire les choses proprement : tenir compte des avertissements quant à l'utilisation de TOR (présents sur le site de TOR6) et de rester prudent.

Il faut garder en tête qu'OnionShare n'est pas un moyen de sortir les données. Vraiment. Sinon, on court droit à la catastrophe, avec en prime une décrédibilisation complète de TOR et des services associés… Certains diraient que c'est le but recherché, pour ma part je n'irai pas jusque là ;).

Bon, ok, j'ai pigé, j'ai un .onion sur un laptop chez un pote… et après ?
Après, il faut transmettre le lien. Pour ça, le mail est en général la manière la plus simple… Mais encore faut-il le faire correctement. Le README mentionne "Jabber7 et OTR8" — c'est une autre manière, permettant en outre de ne pas laisser de preuve flagrante.
Dans tous les cas, il faut chiffrer l'information avant de l'envoyer : que ce soit via GPG, S/MIME, OTR ou autres, balancer le lien de l'onion à travers le réseau sans capote, c'est tout aussi suicidaire que lancer OnionShare sur le réseau de l'employeur… Il vous faudra donc faire le nécessaire avant pour assurer la transmission de l'information. Et faire preuve de prudence…
Mais là encore, aucune information, pas le moindre indice quant aux possibilités, pas de lien vers des solutions logicielles permetant de se protéger la moindre.

En résumé
OnionShare est un outil. Comme tous les outils, il doit s'apprivoiser, se comprendre. En général, on lit le manuel d'utilisation, sauf qu'il n'y en a pas… Aussi, c'est un outil servant à se rendre plus discret sur la toile, son but premier étant de pouvoir mettre à disposition des fichiers de manière anonyme et sécurisée. Pas un simple presse-agrumes électrique. De cet outil peut dépendre la liberté si ce n'est la vie de personnes soucieuses de rétablir un peu de morale et d'éthique dans ce monde vérolé.
À ce niveau, OnionShare ne fournit PAS les garanties nécessaires, et ce pour plusieurs raisons :
  • il suffit d'aller voir les issues ouvertes9 pour se rendre compte qu'il n'est pas utilisable à l'heure actuelle
  • certaines issues sont critiques10, OnionShare partant du principe que TOR est ouvert à tous les vents
  • la documentation en rapport à l'installation de TOR est foireuse, torproject insistant lourdement sur le fait que les packages ubuntu/debian ne sont PAS à jour, et à éviter à tous prix
  • le fait de mentionner le simple fait d'installer TOR au lieu d'insister sur l'utilisation du Tor Browser Budle est un signe qui ne trompe pas : le public-cible n'est PAS les journalistes ou autres hacktivists débutants.

Le Tor Browser Bundle11 intègre tout, que ce soit un navigateur (Firefox), TOR et des configurations du tout pour assurer un minimum de sécurité. OnionShare aurait dû se mettre par-dessus ça. Et ne se baser que sur ça, en premier lieu. Et ne pas mentionner d'installer TOR sur le système. Et mettre les liens qui vont bien pour télécharger TBB, les liens vers la doc d'utilisation etc.

Même si OnionShare part d'une bonne idée et de bons sentiments, il ne faut surtout pas perdre de vue qu'actuellement, on ne peut pas se permettre de jouer les apprentis-sorciers. La surveillance généralisée est en place, et si on a des choses à sortir de quelque part, il faut s'attendre à ce que les issues soient sous surveillance, que ce soit au niveau du réseau ou les accès physiques.

Oh, et, en passant,  l'interface de gestion pour TOR Vidalia12) permet de créer des services cachés… OnionShare perd tout intérêt, à part pour la jolie page web qu'il crée (bon, et le proxy HTTP13 vers le service caché, ok).

Aussi, il vous faut garder ceci en tête : ce n'est pas parce que vous avez un joli marteau que vous saurez planter les clous droits. L'outil ne fait pas le boulot, il faut savoir l'utiliser. Les outils de cryptographie, d'anonimisation et assimilés sont exactement pareils.

Prêt à venir aux prochaines cryptoparties14 ? ;)

More »»

Catégories en relation

iCloud a des fuites…

Par SwissTengu @SwissTengu @SwissTengu — 2014-09-02T05:59:03
Vous l'avez sans doute vu passer : des célébrités se sont retrouvées littéralement mises à nu sur le Net1, suite au "piratage" de leur compte iCloud, sur lequel elles mettaient des photos quelque peu dénudées.

Sans entrer dans la technique, que pouvons-nous retenir de ce non-évènement ? Pas mal de choses, même si au final il s'agit surtout d'une répétition de ce qui a été traité par le passé à de nombreuses reprises par la presse spécialisée (et ce site).

Tes données personnelles tu trieras
Bah oui. Vous n'allez pas balancer votre dossier médical disant que vous avez, exemple bête, une maladie vénérienne sur le Net… ?
Il convient donc de trier ce que l'on envoie, ce que l'on publie, ce que l'on stocke sur le Net. Des photos personnelles peuvent, bien entendu, avoir leur place sur votre compte iCloud, Google Drive, Facebook ou Twitter. Mais pas toutes. Instinctivement, vous n'allez pas publier la même chose sur Twitter que ce que vous stockez sur votre stockage personnel en ligne.
Pourquoi ?
Parce que vous avez, tout de même, une notion de "privacité", du degré d'intrusion dans votre vie privée que représente telle ou telle photo (ou information).

Confiance aux services tiers tu ne feras pas
On l'a dit. Redit. Répété. Et encore répété, crié, chanté, hurlé : les services en ligne ne sont pas sûrs !
Partez du principe que les solutions mises en avant par des prestataires ne sont pas suffisament sécurisées. Cela est vrai tant pour vos emails, que votre e-banking ou encore Facebook. Ou iCloud. Ou Google Drive.
L'erreur est humaine, et ce sont des humains qui développent ces applications. On ne parlera pas des multiples problèmes remontés au sein même de nos ordinateurs, le nombre de mises à jour de sécurité à appliquer sur votre Windows, MacOSX ou Linux (pas de discrimination) le montre tous les jours (ou toutes les semaines).

Des failles, des erreurs, des mauvais contrôles, des oublis. Autant de surfaces d'attaque potentielles. Certes, la plupart n'est pas simple à trouver. Ça demande un peu de recherche, des tests, de la réflexion, des connaissances et, surtout, une idée de départ : "Et si je fais ça, est-ce que ça marche ?"

Sur ton smartphone le minimum tu conserveras
C'est bête à dire, mais se reposer sur son smartphone pour conserver des données, ce n'est pas vraiment une bonne idée. En effet, cet appareil a une furieuse tendance à se faire voler, se faire oublier ou se perdre. De plus, il est de base configuré pour envoyer toutes vos informations sur le Net, que ce soit via votre compte Google, iTunes ou encore RIM…
Oui, cet appareil que vous conservez dans votre poche n'est rien d'autre qu'un mouchard dont l'utilisation est si aisée que vous en oubliez l'essentiel : la synchronisation de vos données entre tous vos appareils implique qu'elles passent par Internet et, plus précisément, des services tiers. Que vous ne connaissez pas. Dont vous ne connaissez pas le degré réel de sécurité.

Sans même tomber dans la paranoïa complète, ni remettre une couche avec Snowden et les écoutes/interceptions massives, j'ai peine à croire que Google et Apple ne possèdent pas un seul "employé indélicat" capable de prendre le temps de fouiller vos affaires, surtout si vous avez un nom connu.
L'humain est curieux. Certains le sont même plus que la moyenne, et n'ont que peu si ce n'est pas de moral (ou scrupules).

C'est triste à dire, mais le fait est qu'on ne peut pas faire confiance. Même aux grosses entreprises internationales. Chez elles aussi, ce sont des humains qui font des choses, avec les erreurs potentielles que cela implique.
Plus l'entreprise est grosse, plus la plus petite erreur peut avoir des conséquences énormes.
Là, ce sont des photos qui ont filtré. Mais on ne sait pas s'il n'y avait pas, dans le lot, des documents comportant, au hasard, des données de carte bancaire… Ou des informations sur des contrats… Ou toutes autres choses pouvant, potentiellement, intéresser tant des criminels que des concurrents.
On sait que ces célébrités se sont faites avoir. Mais qui nous dit que ce n'est rien par rapport à ce qui a été fait dans l'ombre ?

Vos données sont précieuses. Que ce soit vos photos, vos mails, vos SMS, vos conversations téléphoniques, vos contrats (d'emploi, d'assurance ou autres).
Ne les diffusez pas n'importe comment. Conservez-les, dans la mesure du possible, chez vous. En-dehors du réseau serait l'idéal.

Réfléchissez avant de synchroniser vos données !

More »»

Banques vulnérables à POODLE — mais pas seulement.

Par SwissTengu @SwissTengu @SwissTengu — 2014-12-18T16:26:18
Un article, paru dans Le Matin du jour1, met en avant des problèmes de configuration des serveurs e-banking de deux organismes bancaires suisses.

Les commentaires, outre le fait qu'ils passent juste à côté du sujet principal, montrent aussi le manque de connaissances des utilisateurs de ces services. La réponse d'une des banques citées2 est, quant à elle, un ramassis de langues de bois.

Penchons-nous un tout petit peu sur le fond du problème.

POODLE
Sous ce joli nom tout mignon se cache un truc un peu vicieux. On ne va pas entrer dans les détails, déjà expliqués en long3, en large4 et en travers5.
Ce qu'il faut retenir, c'est que c'est exploitable moyennant un peu de connaissances techniques, et que ça permet, entre autres, de récupérer un cookie6 de session7, permettant à un attaquant de vous personnifier auprès des services demandant une authentification (comme une banque, par exemple).

Il est certain que les instituts bancaires ont des mesures de sécurité empêchant un cookie d'être réutilisé. On imagine sans peine que les adresses IP sont contrôlées lors de chaque action, de même que les éléments fournis par les navigateurs des clients. De toutes façons, les informations utilisables pour de tels contrôles sont enregistrées pour le suivi des transactions, leur validation, etc. Avec ou sans POODLE, Heartbleed ou autres à venir.

Il est donc clair que le système e-banking en soi est sécurisé ou, du moins, ne devrait pas être assez mauvais pour que POODLE soit réellement efficace.

C'est quoi le problème alors ?
Le problème, enfin, les problèmes, sont mutliples.

En premier, le silence des banques face à POODLE. Mais pas seulement : peu ont communiqué suite à Heartbleed8 qui a pourtant été pas mal médiatisé. En gros, on paie les banques pour un service et un accès par voie électronique (e-banking), mais on ne sait jamais réellement si elles sont au courant des failles, ni ce qu'elles font pour nous protéger, nous, les clients qui leur confions notre argent.

Outre le silence, le temps de réaction est affligeant : il faut compter des semaines si ce n'est des mois avant de voir le correctif appliqué.

Dans le cas précis de la BCV, on pourra aussi noter leur superbe résultat sur SSLlabs9, montrant qu'ils n'ont pas forcément les moyens de contester quoi que ce soit : leur configuration SSL est mauvaise, du certificat SSL mal fait jusquà la configuration de leur serveur web. Même leur certificat intermédiare est faux et comporte des éléments en trop…

/static/images/bcv-fail.png

Dans le cas de la Raiffeisen, pareil, leur résultat10 est tout aussi parlant, bien que meilleur que la BCV. Ce qui n'est, en soit, pas très dur…

/static/images/raiffeisen-fail.png

Et alors… C'est sécurisé, oui ou non ?
Oui. Enfin… On ne peut que l'espérer, à savoir que le protocole de connexion est pourri, donc on doit faire confiance au backend (l'application d'e-banking) pour qu'elle possède les contrôles nécessaires, et qu'elle soit exempte de failles exploitables. Errare humanum est, comme disait l'autre.

Sans tomber dans la paranoïa complète, voici quelques conseils pour éviter les problèmes en attendant que la situation soit claire :
  • Ne jamais employer une connexion publique sans fil
  • Éviter de passer par les connexions mobile (oui, même avec leur app, le réseau DATA mobile est insécure)
  • Contrôlez que le certificat soit bien émis par une autorité reconnue (VeriSign pour la BCV,  et QuoVadis Global pour Raiffeisen)
  • Dans la mesure du possible utilisez la connexion de votre domicile.

Note: l'émetteur du certificat. À ce niveau, rien n'est gravé dans le marbre, surtout en sachant que ces deux banques ont "prévu de corriger le problème" début 2015. 

Mot de la fin
Ce qui est consternant dans toute cette histoire, c'est le manque de communication des banques.
Si elles savent qu'elles sont protégées, pourquoi ne pas le mettre sur leur page d'accueil ?
Quand on les contacte par mail, en passant par leur messagerie interne (accessible uniquement par les clients donc), pourquoi ne répondent-elles pas ?

Ce qui est aussi consternant, c'est de voir que des instituts censés protéger leurs usagers ne semblent pas prendre réellement au sérieux l'image qu'elles donnent d'elles-mêmes : en effet, se ramasser un F pour un truc aussi basique qu'une configuration SSL, ça ne donne pas confiance.

Pour notre part, cela nous fait nous interroger sur les compétences de leurs équipes (ou prestataires) à gérer correctement une infrastructure.
Du coup, est-ce que nos données sont réellement protégées ?
Est-ce que tout est réellement mis en œuvre pour éviter les fuites ou les vols ?

Autant de questions qui, nous le craignons, resteront sans réponse. Le manque de transparence à ce niveau est mauvais, et n'inspire en tous cas pas la confiance requise pour confier son argent et ses données à de tels instituts.

En comparaison, la connexion fournie par EthACK est plus sécurisée que celle de ces deux banques11. Et on ne vous fait rien payer pour ça ;).

/static/images/ethack-ssl.png


More »»

Banquignols — Test de connexion SSL

Par SwissTengu @SwissTengu @SwissTengu — 2015-02-04T13:00:06
EthACK vient de lancer l'application Banquignols1. Le but est de tester et noter la qualité des connexions offertes par différentes banques en Suisse (environ 180).

L'application prend en compte les protocoles offerts, ainsi que les algorithmes de chiffrement supportés, en plus de quelques autres critères. Notre objectif est d'attirer l'attention du public sur le fait que les banques, censées être garantes du secret de vos avoirs, ne semblent pas toutes faire le maximum pour assurer une connexion sécurisée au plus près des bonnes pratiques actuelles.

Attention cependant : une mauvaise note ne veut pas dire que vos données sont accessibles par tout le monde, loin de là : du moment qu'une connexion SSL/TLS est présente, cela signifie que le contenu de vos interactions avec le site est chiffré.
Du coup, ce n'est pas votre voisin qui pourra savoir combien vous gagnez. Par contre, si le chiffrement est faible, ça peut être à la portée d'un état.

Aussi, l'application ne fait aucun test d'intrusion ou de recherche de failles au niveau des applications ­— les implications légales sont trop importantes pour qu'on se permette de faire cela sans un minimum de préparation, de prise de contact et, surtout, d'acceptation de la part des entités testées.
Du coup, la BCGE, qui pourtant a eu une fuite de données non négligeable, s'en sort avec une note potable.

Ce qui est inquiétant : la moyenne, à l'heure actuelle, n'est que de 7.70 sur 10 pour les sites de e-banking. Elle devrait être d'au moins 8.5 voire 9, sachant que, sur un plan purement technique, le 9 est "facilement" accessible. Le 10, par contre, avec notre barème, est peu probable à l'heure actuelle (un peu de challenge ne fait pas de mal ;) ).

Si vous vous sentez concernés par la sécurité qu'offre votre banque, et que la note vous inquiète, n'hésitez pas à la contacter. Nous avons approché une des banques présentes dans le listing qui présentait une note particulièrement basse, et, en suivant nos indications et en profitant de nos actions pour accélérer des procédures, la banque en question a pu remonter sa note de quelques points.

Pas toutes les banques vont réagir comme celle-ci — mais si un certain nombre de demandes arrivent, peut-être que ça les fera bouger.

Encore une fois, la sécurité n'est pas en cause (du moins, on ne peut pas s'en rendre réellement compte avec nos tests), il s'agit avant tout d'une question de principe : offrir au client le top au niveau confidentialité de sa connexion.

Dans l'idéal, voici ce qu'une banque devrait fournir :
  • connexion sécurisée sur l'ensemble du site, pas que le e-banking
  • forcer la connexion sécurisée
  • désactiver les protocoles SSLv2 et v3, et ne laisser que TLSv1, v1.1 et v1.2
  • avoir une clef privée dont la taille est au minimum de 2048 bits
  • employer un algorithme de signature SHA2 au lieu de SHA1
  • offrir une majorité de ciphers (algorithmes de chiffrement) fournissant la confidentialité persistente
  • désactiver les ciphers réputés peu sûrs (il y en a un wagon)
  • ordonner correctement les ciphers, et forcer l'ordre du serveur (ce point n'est pas testé)

En plus, s'agissant d'une banque, les données et points d'accès devraient être en Suisse.

Au final, ce n'est pas compliqué. Certaines banques laissent SSLv3 activé parce qu'elles ont remarqué qu'elles ont une majorité de clients avec des vieux navigateurs. Il faut savoir que ces personnes tournent avec un Internet Explorer 6 sur du Windows XP en général, et que le combo IE6/XP ne sont plus du tout supportés… Du coup, leur système n'est pas à jour, et possède sans nul doute des failles importantes.
On peut donc se demander si ça ne rendrait pas service à ces personnes de se retrouver bloquer, et obligées à mettre à jour leur machine. Pas forcément avec du Windows, en passant ;).

Concernant l'application elle-même, le code source est ouvert et est hébergé sur github2. Si vous pensez que certains tests peuvent être ajoutés, ou que vous voulez l'employer pour votre propre compte, ne vous gênez surtout pas ;).

Nous espérons que ce site éveillera les consciences, et forcera les banques à réagir comme celle que nous avons contactée : appliquer des correctifs (et nous rencontrer pour discuter sécurité et protection des données).

Nous tenons encore à le répéter : les tests ne sont en aucun cas intrusifs. Il s'agit d'une "prise d'empreinte", complètement passive, et ne diffère pas trop d'une utilisation standard des sites.

More »»

Superfish, ou comment Lenovo tue la confiance en SSL/TLS

Par SwissTengu @SwissTengu @SwissTengu — 2015-02-19T18:03:34
Lenovo ont fait fort, très fort : en installant une application d'un partenaire commercial, ils viennent de tuer le fonctionnement même de SSL/TLS et de la chaîne de confiance autour de cet écosystème.

Pire que POODLE, Heartbleed et autres failles au niveau des protocoles, on vous présente Superfish.

Superfish, c'est le nom d'une société (Superfish Inc) américaine. Elle fournit, entre autres, une application insérant de la publicité dans vos pages Web, en faisant tourner sur votre machine un serveur, et en forçant les connexions de votre navigateur à passer par lui (un mot : un proxy1).

Là où le bât blesse, c'est que ce proxy insère aussi du contenu dans les connexions chiffrées (vous savez, le petit httpS, avec le cadenas). Or, les connexions sécurisées sont, justement, censée éviter ce genre de comportement.

Comment se fait-il qu'un tiers se trouvant entre vous et, disons, Facebook (ou Twitter, ou votre banque) arrive ainsi à injecter du contenu ? Simple : l'application de Superfish génère des certificats à la volée, déchiffre le contenu, et rechiffre derrière.

Sauf que, normalement, votre navigateur devrait crier : le certificat de votre site n'est pas valide, parce que Superfish n'est pas une autorité de certification reconnue… Et bien, cher lecteur, chère lectrice, grâce à Lenovo, Superfish est considéré comme une autorité de confiance par votre ordinateur !

En effet, Lenovo ont commis une énorme bourde : ils ont installé le certificat de Superfish au cœur de votre système, en lui octroyant, en plus, la confiance maximale ! Du coup, les certificats créés à la volée par le proxy de Superfish sont considérés comme valides.

Mais ce n'est pas tout : pour signer les certificats générés, l'application de Superfish possède la clef. Évidemment. Sans cette clef, le proxy ne pourrait pas signer le certificat généré, et donc il n'y aurait pas moyen d'éviter que votre navigateur ne crie au scandale.
Évidemment, la clef est chiffrée. Mais comme elle est disponible sur quelques milliers de machines2, qu'elle circule déjà sur le Net3, on ne peut pas vraiment dire que ce détail va retenir des hackers de s'y mettre4.
Du coup, n'importe qui peut signer un certificat via l'autorité de Superfish.

Vous voyez où on veut en arriver ? Non ? Bon, reprenons :
vous êtes sur votre site d'achat favori, en SSL/TLS, donc connexion chiffrée. Vous faites vos petites affaires, pensant "c'est bon, je peux donner ma carte bancaire, y a le cadenas". Mais est-ce le bon certificat ? Combien d'entre nous vérifie l'émetteur du certificat ? Combien prennent le temps de réellement vérifier ? Pas des masses.

On ne parlera pas non plus de l'effet avec les mails de phishing5 — à ce niveau, Superfish pourrait être renommé en SuperPhish. Les possibilités sont infinies, à partir du moment où le nombre de cibles potentielles se mesure par le nombre de clients d'un des plus gros distributeurs de matériel informatique.

Et, cette fois, n'importe qui peut vous écouter : de votre voisin, au petit hacker boutonneux. Et sans aucun effort, surtout sur votre réseau local donc la clef WPA est "mon chien s'appelle Fido" voire, plus trivial, votre numéro de téléphone. En quelques manipulations très simples, voire enfantines, on peut faire en sorte que votre trafic passe par une machine sous notre contrôle, possédant les applications nécessaires6, et vos actions sur le Net n'ont plus aucun secret.

Ce qu'a fait Lenovo, c'est juste briser la chaîne de confiance, déjà mise à mal maintes reprises7

En installant de manière globale cette autorité, Lenovo a démontré que les fabricants ne savent pas ce qu'ils font. Qu'on ne peut pas leur faire confiance. Que le système complet des autorités de certification n'est pas fiable : s'il faut, à chaque fois qu'on achète un ordinateur ou, plus généralement, dès qu'on installe quelque chose dessus, s'assurer que le cercle de confiance n'est pas compromis, on n'est pas près de s'en sortir. Personne ne prend la peine de contrôler le keyring système. Plus de 600 autorités diverses, des autorités privées, étatiques, locales… La tâche est impossible. Comment savoir lesquelles sont ne serait-ce qu'utiles ? De là à déterminer nous-même lesquelles sont de confiance…

Mais c'est un autre sujet (tout aussi intéressant cela dit : quelle confiance peut-on avoir dans les autorités de certification ?).

Revenons sur Superfish. Dans le cas où vous avez récemment acheté un ordinateur Lenovo (bien qu'à notre sens il ne faille en aucun cas limiter à cette seule marque), voici les différents points pour vous assurer que vous n'êtes pas compromis par ce certificat vérolé :
  • Exécutez certmgr.msc (Windows+r pour avoir l'invite de commande)
  • Allez dans la partie "Autorités de certification racine"
  • Cherchez "Superfish Inc."

Si vous la trouvez, supprimez-la.

Vous pouvez aussi passer par ce site8 qui vous donnera une indication — mais l'option "vérification manuelle" décrite ci-dessus est la plus sûre.

Il vous faut aussi contrôler dans les logiciels installés que les produits de Superfish Inc sont absents. Histoire d'éviter qu'ils tournent, se mettent à jour ou que d'autres joyeusetés de ce genre n'arrivent.

Cette histoire montre à quel point nous, consommateurs, sommes dépendants des fournisseurs.
Cela montre aussi à quel point les fournisseurs ne peuvent pas avoir notre confiance — or, en sécurité, malheureusement, beaucoup de choses se basent sur la confiance (pour l'utilisateur final).
Nous, consommateurs, n'avons pas les connaissances nécessaires pour repérer les erreurs (volontaires ou non) commises sur des produits qu'on achète.

More »»

Catégories en relation

Swiss ISP security lookup

Par noskill @_noskill @_noskill — 2015-12-29T23:14:12
Switzerland is a small country
  • Intro
    • Few ISP (monopole kind of thing)
    • Bad security on only one ISP -> large chunk of victims.
    • (image of chunk)
  • Material
    • Swisscom's media center thingie. (to test)
      • Getting to know each other
        • Photos of the inside of the beast
        • Look for debug ports
        • OS/RTOS ?
        • Bootloader ?
        • Firmware ?
        • Update policy ?
        • Get a shell ?

More »»

Catégories en relation

Facebook, Cambridge Analytica, et votre vie

Par SwissTengu @SwissTengu @SwissTengu — 2018-03-30T14:44:22
On l'a vu, lu, entendu, Facebook s'est fait prendre la main dans le sac à données personnelles. Ou, plutôt, une société tiers, qui a simplement profité de ce que Facebook met à disposition.

D'aucun parlent de "vol de données". Ce n'est pas le cas. D'autres parlent de "manipulations" des votations. On y reviendra. Quoi qu'il en soit, la cacophonie entourant cette "découverte" nous laisse un peu perplexes. Voici pourquoi.

Facebook ne vous vole rien

C'est bête à dire, mais tout ce que Facebook sait de vous, c'est vous-même qui mettez ces informations à dispositions, que ce soit au travers de vos publications, "likes", commentaires, ou par l'emploi du "login facebook" pour des sites/applications tiers.
Ce que Facebook fait de tout cela est expliqué dans les fameuses "conditions générales d'utilisation", que vous avez acceptées lors de votre inscriptions. Vous recevez en outre des informations dès que Facebook effectue des modifications de ces fameuses CGU. On peut reprocher pas mal de choses à Facebook. Mais de vous voler des données, non, on ne peut décemment pas.

La manipulation

Là encore, il faut savoir raison garder : si on est manipulé, c'est qu'on prête le flanc, de part notre crédulité, notre propre bêtise, ou notre enfermement.  Mais on ne peut, réellement, manipuler les gens que s'ils se laissent faire. Alors oui, pour éviter la manipulation sur les réseaux, il y a plusieurs choses à garder en tête, comme par exemple :
  • garder un esprit critique
  • toujours valider ce qu'on lit (que ce soit sur Internet ou même dans des journaux)
  • demander/chercher une seconde opinion
  • ne jamais avaler tout droit la soupe de (dés)information
  • sortir de notre "bulle de confort"
Le dernier point est sans doute le plus important et, potentiellement, le plus compliqué, surtout si on est dans un système tel que Facebook. Pourquoi nous demandez-vous ? On va l'aborder :).

Le modèle économique

Facebook marche à la publicité. Ce qu'ils vendent aux annonceurs, c'est une certaine garantie que les publicités affichées apporteront des clients. Et la manière la plus "simple" de faire cela, c'est d'exploiter les données que nous lui fournissons - et de dresser des profiles à même de satisfaire les attentes des annonceurs.
C'est aussi simple que cela. On utilise une plateforme "gratuite", qui exploite nos données pour nous afficher de la publicité - que ce soit sur Facebook directement, ou sur des sites employant les plugins de Facebook.

Il n'est donc pas étonnant que Facebook récolte les données et les traite. Et, encore une fois, les conditions ne cachent pas ce traitement.

Cambridge Analytica

Ce n'est pas la seule entité à exploiter Facebook - n'importe quelle application qe vous activez dans votre compte peut accéder à vos données - les permissions demandées vous montrent bien ce à quoi elles accèdent.
Cambridge a juste créé une application (un test psychologique), demandant l'accès aux données de manière complètement transparente, et a ensuite exploité le tout, dans le but de créer des annonces/articles/autres de manière à, peut-être tenter d'influencer en confortant les gens dans leurs positions.

CA a juste poussé les choses plus loin que les autres annonceurs et développeurs qui utilisent Facebook. La seule raison qui explique le soudain "omg-effect", c'est que ça a été démontré par un lanceur d'alerte, et que c'est en lien avec le président actuel des USA, qui n'est pas dans le cœur de tout le monde… Mais ce ne sont pas les premiers, ni les seuls, ni les derniers.
Même si Facebook assure travailler à améliorer la confidentialité, il y aura toujours le facteur humain : les gens vons continuer d'accepter sans regarder, ce qui laissera les données en "libre accès".

More »»