Category "Technologies"

myEnigma — quelques précisions

Par SwissTengu @SwissTengu @SwissTengu — 2014-05-22T05:57:35
/static/images/myEnigma.png

myEnigma1 est une application suisse permettant, un peu comme Whatsapp, d'échanger des messages, images et documents avec ses contacts. L'avantage par rapport à Whatsapp est qu'elle est suisse, à priori chiffrée, et que les serveurs sont localisés en Suisse.

J'ai pu obtenir une interview de l'entreprise Qnective AG2, société basée à Zürich.

Les questions posées couvraient les points suivants :
  • Sécurité : quelles sont les mesures prises face aux failles type Heartbleed, s'ils s'étaient fait attaquer, etc
  • Statistiques : comment est employée l'application, où, combien, etc
  • Plans futurs
  • Légal : si le gouvernement a émi des demandes d'accès, logs, etc
  • Divers questions d'ordre plus générale
  • Utilisation (j'ai pu faire quelques tests)

Sécurité
Malheureusement, ils ne sont pas très communicatifs, principalement au niveau de la sécurité présente autour de leurs systèmes…
À chaque fois, j'ai reçu un « on ne partage pas d'information sur nos mesures de sécurité », ce qui, de nos jours, peut être mal vu. Les questions couvraient Heartbleed, TLS, les attaques qu'ils auraient subies — mais aucune communication n'est faite à ce niveau.
Un white paper3 est disponible et explique 2-3 choses, mais reste très vague quant aux algorithmes et librairies employées. Sur le papier, cela semble tout de même solide (modulo la partie en rapport à TLS qui, dernièrement, a montré quelques faiblesses4

La seule chose obtenue à ce niveau concernait l'ouverture du code source à des fins de « community review », mais je doute que cela se fasse. La réponse elle-même est ironique par rapport à la constatation précédente :
Trust is mainly related to the people behind an application. Our business model is based on providing secure mobile communication. We consider to open source as soon as patents are not impacted.
« La confiance dépend principalement des gens derrière l'application. Notre business model est de fournir des communications mobiles sécurisées. On pourrait ouvrir les sources dès que cela n'impactera pas des brevets »

La confiance… Tout est là.

Statistiques
Je n'ai pas pu obtenir de statistiques par rapport au nombre d'utilisateurs ou même le nombre de messages transitant sur leurs serveurs… Par contre, il semblerait que myEnigma soit principalement employé en Allemagne, Suisse, Italie et Espagne. Le Brésil et d'autres pays d'Amérique du Sud semblent intéressés, ce qui fait que l'application sera traduite prochainement en espagnol et portugais.
Mais pas en français, par contre…

Futur
Pas de dates annoncées, mais pas mal de nouvelles fonctionnalités devraient venir durant l'année : emoticon pour la version Android, ainsi qu'un nouveau design sont actuellement en cours de développement.
Aussi, l'application est actuellement gratuite, mais une notion de licence (« free » pour le moment) au sein de l'application, ainsi qu'une mention de coût et de modification à ce niveau dans la FAQ m'a fait poser la question pour avoir plus de précisions.
Ils considèrent plusieurs modèles économiques, le principal étant un abonnement annuel qui, je cite, « ne dépassera pas le coût d'une tasse de café (Starbucks exclu) ». Donc compter une thune par année environ.

Demandes légales
Pour le moment, ils n'ont reçu aucune demande légale au niveau des communications. De plus, le chiffrement se faisant au moment de l'émission du contenu, ils n'ont à priori aucun moyen de savoir ce qui transite sur leurs serveurs.
Au niveau des logs, ils ne semblent pas être soumis aux lois sur les télécommunications, parce qu'ils ne se considèrent pas comme étant un fournisseur de service de télécommunication… Sur ce point, je suis dubitatif, je l'avoue.

Divers
Pour les utilisateurs d'Android découplés de Google, l'application est disponible sur demande en-dehors de Play. Il suffit d'en faire la demande par email5 au support.
Bon point. Bien qu'un lien de téléchargement disponible directement sur le site serait nettement plus    pratique à mon sens…

Par contre, du fait qu'ils sont en train d'implémenter le support de GCM6, il faudra peut-être s'attendre à ce que l'APK ne soit plus disponible, à moins qu'ils ne laissent l'ancien mode disponible pour les « déconnectés ». Ce qui serait logique.

Aussi, les messages ne sont pas conservés sur les serveurs : du moment qu'ils sont délivrés, ils sont effacés. Ce qui, au passage, empêche d'avoir le même compte sur de multiples appareils.

Utilisation
J'ai un peu tester l'application. Le problème premier a été de trouver un contact possédant aussi cette application : parmi mes contacts, très peu (4) sont sur l'application. Et, de ce que j'ai pu remarquer, aucun de ces contacts ne semble encore employer myEnigma.
Ce premier problème résolu (merci François), l'utilisation est relativement simple. L'interface demande effectivement d'être revisitée et améliorée pour rendre les choses plus simples et plus compréhensibles.
L'application est assez fluide. On a moyen d'activer des logs pour voir un peu ce qu'il se passe. Cela permet de savoir à quoi on se connecte, mais pas vraiment plus à première vue.
M'enfin, ça m'a permis de déterminer qu'ils utilisent un certificat SSL signé par SwissSign, société suisse appartenant à la Poste Suisse — ce qui, en soit, est un détail, mais je trouve que c'est une bonne chose.

Pour ma part, je préfère une autre application (dont je parlerai dans un prochain article) — mais il faudra surveiller les améliorations, principalement au niveau interface.

En conclusion : myEnigma a du potentiel. Si tant est qu'on ait un accès un peu plus grand aux informations de sécurité. Et que l'interface soit revue et simplifiée.

More »»

Threema — détails et informations

Par SwissTengu @SwissTengu @SwissTengu — 2014-06-02T06:32:55
/static/images/threema.png
Threema est une application de communication sécurisée. Dans le même genre que myEnigma, elle permet d'échanger des messages, images et documents de manière sécurisée, les contenus étant à priori chiffrés.

J'ai pu obtenir quelques informations de plus de la part de l'éditeur, Threema GmbH1, société suisse, dont les serveurs applicatifs dédiés à Threema sont localisés en Suisse.

Les questions couvraient les points suivants :
  • Sécurité : quelles sont les mesures prises face aux failles type Heartbleed, s'ils s'étaient fait attaquer, etc
  • Statistiques : comment est employée l'application, où, combien, etc
  • Plans futurs
  • Légal : si le gouvernement a émi des demandes d'accès, logs, etc
  • Divers questions d'ordre plus générale

Sécurité
Bonne nouvelle, Threema n'utilise pas de version d'OpenSSL affectée par Heartbleed. De même, le mode de fonctionnement n'implique pas d'authentification par certificat SSL, ce qui exclu aussi la petite faille dans le protocol TLS2.
Aussi, ils ne semblent pas avoir encore subi d'attaques « concertées » dirigées spécialement sur leurs services. Selon Manuel Kasper, à part le « bruit habituel d'Internet » (scan, tentatives de connexion SSH et autres du genre), ils n'ont rien remarqué.

Aussi, ils ne considèrent pas encore ouvrir le code source à des fins d'audit communautaire, et ce principalement à cause du modèle économique de l'application.
Par contre, il semblerait que cela n'ai pas empêché une analyse approfondie du fonctionnement de Threema3, ainsi qu'une validation des processus de chiffrement.

Statistiques
Threema possède environ 2.8 millions d'utilisateurs, et environ 40 millions de messages transitent quotidiennement sur leurs serveurs.
La majorité des utilisateurs provient de l'Allemagne, suivi par la Suisse, l'Autriche et les USA.

Futur
Ils préfèrent ne pas annoncer les nouveautés avant de les sortie — mais ils travaillent sur des nouvelles fonctionnalités.

Demandes légales
Kasper System n'a pas eu de demandes d'accès. Ce qui, de toutes façons, ne ferait pas grand chose, vu que les messages et contenus sont, à priori, chiffrés.
Ils n'ont pas non plus modifié leur politique de logs4 (à savoir : rien n'est enregistré), ce qui est plutôt  bien.

Divers
À priori, Threema ne fait pas partie du « pack gouvernemental », ce qui est assez dommage vu la qualité de l'application.
Aussi, leur canal de communication est plus germanophone, ce qui explique qu'on n'en entend pas beaucoup en Suisse romande.

À noter aussi que Threema s'obtient, pour Android, en-dehors de Play5, ce qui permet en plus de payer en bitcoins !
De base, l'application utilise le GCM6, mais permet aussi de passer en mode « pull »: l'application va elle-même contrôler si des messages sont en attente à intervalle régulier (toutes les 15 minutes).

Conclusion
De manière générale, j'adore cette application : simple, efficace, elle permet de mettre à portée de tous une solution de chiffrement propre.
La validation de ses contacts permet en outre de s'habituer à contrôler soi-même « qui est qui ». À ce niveau, on est très proche de GPG/PGP, s'agissant de signer les clefs et de régler le niveau de contrôle effectué.

More »»

Est-ce que les banques Suisses, et leurs clients ont été espionnées par les Etats-Unis?

Par gabriel.klein — 2014-05-26T06:31:35
Nombreuses ont été les entreprises Suisses à subir les foudres des Etats-Unis. UBS, Crédit Suisse et prochaine victime, les caisses de pensions.

Le but de cet article n'est pas de blanchir les banques... Elles ont agi de manière particulièrement stupide et doivent en assumer les conséquences. Quand votre environnement change, une société intelligente doit savoir s'adapter rapidement – or là, elles ont profité de la débâcle de l'UBS pour récupérer ses clients « toxiques » au lieu de se faire discret. 

Cet article ne va pas vous donner de réponse, car je n’en ai pas! Juste parler de ce qui est technologiquement possible et d'exemples dans lesquels certains outils ont été utilisés par les États-Unis pour mettre en place une surveillance massive.

Mais on peut quand même citer Glenn Greenwald :
« Il y a en outre des indices que la NSA a espionné le système bancaire helvétique. Les services secrets américains ont montré un grand intérêt notamment aux flux monétaires, signale le journaliste américain. »
http://www.lematin.ch/monde/suisse-doit-accorder-asile-snowden-estime-journaliste/story/27940069

Revenons quelques années en arrière! Je suis les États-Unis, des avions viennent de s'abattre sur des tours. Je deviens alors parano et désire mettre en place des outils me permettant de combattre le terrorisme. C'est pour cette raison qu'a été signé le Patriot Act. http://en.wikipedia.org/wiki/Patriot_Act https://ethack.org/article/43/le_patriot_act_ce_n_est_pas_juste_un_nom

Le Patriot Act c'est quoi? C'est entre autre donner aux services de sécurité (NSA), sans autorisation préalable et sans en informer les utilisateurs, d'accéder aux données informatiques détenues par les particuliers et les entreprises. Cela permet aux services secrets américains d'obliger les sociétés américaines à leur donner accès à tous les moyens permettant d'espionner des utilisateurs étrangers. Accès aux mails envoyés par Google, accès à vos communications Facebook, accès à vos communications Skype (dont le prix d'achat de $8.5 milliards a étonné beaucoup de professionnels… http://www.wired.com/2011/05/microsoft-buys-skype-2/ ), accès à votre ordinateur / système d'exploitation, accès à votre téléphone mobile, et la liste est encore longue!

Je suis la NSA, on me demande rapidement de trouver et prévenir d'éventuelles attaques. Quel va être ma première action? Trouver les flux financiers! C'est-à-dire mettre les banques sous écoutes.

Les banques Suisses sont une cible de choix!
www.swissinfo.ch/eng/politics/internal_affairs/Spies_target_banks_for_the_secrets_they_hold.html?cid=7493558

Première solution... pourquoi chercher trop loin. Swift est un traité entre l'union européenne et les Etats-Unis leur permettant de voir les transferts inter-banques.
http://www.spiegel.de/international/europe/nsa-spying-european-parliamentarians-call-for-swift-suspension-a-922920.html et http://fr.wikipedia.org/wiki/Accord_Swift
Les pays offrent les informations dont j'ai besoin sur un plateau doré... pourquoi ne pas en profiter!

Deuxième solution... Travailler avec Microsoft et Apple pour intégrer dans leur système d'exploitation des chevaux de Troie permettant de tracer toutes les données.
http://fr.wikipedia.org/wiki/NSAKEY http://www.forbes.com/sites/erikkain/2013/12/30/the-nsa-reportedly-has-total-access-to-your-iphone/. Facile, mais cela veut dire que tous les utilisateurs vont transférer des données étranges hors de leur téléphone ou ordinateur. Ce n'est pas très discret, et il y aura toujours des gens qui vont se demander par exemple pourquoi Apple gardait l'historique du déplacement des utilisateurs... http://www.theguardian.com/technology/2011/apr/20/iphone-tracking-prompts-privacy-fears

Si Microsoft ou Apple refusent de collaborer, pourquoi ne pas utiliser un programme qui voit déjà tout ce qui passe entre votre ordinateur et Internet. On a presque tous un anti-virus à l'exemple de Norton (Symantec), et/ou un firewall. Ces outils sont, par conception, obligés de vous espionner pour voir si il n'y a pas quelque chose en train de vous attaquer - ils sont ainsi très bien placés. Mais est-ce que leur seule fonction est vraiment de vous protéger?

Troisième solution... Cette solution est théorique, et je suis certain que les Etats-Unis nous considérant comme alliés n'ont pas implémenté cette possibilité! Ils n'espionnent pas leurs alliés (ironique)! http://www.dw.de/report-nsa-spying-on-merkel-aides/a-17452381

Mon but en tant que la NSA est que la solution soit discrète et que je puisse lancer des programmes d'espionnage sans que personne s'en rende compte!

Ma première étape sera de détourner tout le trafic entre les utilisateurs et ma cible. Par exemple le Crédit Suisse! Pour y arriver j'aurais premièrement besoin de modifier les routeurs afin qu'ils fassent passer toutes les communications qui arrivent sur une banque par mes propres ordinateurs. Lorsque vous allez sur Internet, votre communication passe par plusieurs "routeurs" qui prennent ce que vous envoyez et le redirige au bon endroit. Par exemple pourquoi ne pas modifier les routeurs soit en demandant à l'entreprise qui en fabrique le plus (CISCO) de le faire, soit en installant une version alternative du logiciel qui tourne sur ces routeurs. http://pro.clubic.com/it-business/securite-et-donnees/actualite-702087-nsa-soupconnee-installe-logiciels-espions-routeurs-fabriques-usa.html http://freedomhacker.net/2014-04-router-firmware-built-with-backdoor-vulnerability-tcp-32764-reactivated

J'ai maintenant la possibilité de voir tout ce qui arrive sur une banque, une administration Suisse! Mais tout est chiffré...

Mon second problème est de rendre cela plus discret. Envoyer pleins des paquets aux Etats-Unis, c'est pas vraiment très discret! Le plus simple est d'installer des machines qui espionnent directement en Suisse. Pas trop loin des banques! Après j’envoie régulièrement un résumé des transactions entre les clients et leur banque: cette personne a envoyé cette somme d'argent à cette autre personne.

Cette attaque est nomée : man-in-the-middle.

Heureusement la communication est chiffrée par du HTTPS / SSL. L'idée du SSL c'est que vous avez une autorité tierce (il y a environ 500 autorités de certifications). Par exemple la plus populaire est Verisign (appartenant aussi à Symantec qui fait Norton). Ces autorités ont signé un "deal" avec par exemple Mozilla, Microsoft et Apple pour qu'elles soient considérés comme étant des partenaires de confiance. Quand vous allez sur l'UBS, vous allez être certain que vous communiquez bien avec l'UBS et non un hacker – car Verisign le certifie ! Verisign est une société Américaine, donc soumise au Patriot Act;) ( https://ethack.org/article/48/ssl_ou_l_absence_de_la_moindre_assurance )

Une solution serait d'avoir un faux certificat signé dans notre cas par verisign. (J'utilise une approche similaire pour faire du développement: http://portswigger.net/burp/help/proxy_using.html ). Je pense discuter avec la banque, mais en fait je discute avec un serveur de la NSA (certifié par verisign). Derrière le serveur de la NSA discute avec la banque en se faisant passer pour moi.

Je pense : Utilisateur → {internet} → https://www.ubs.com – Certifié par Verisign

En réalité : Utilisateur →{internet, Certifié par Verisign} → NSA →{internet, Certifié par Verisign} → https://www.ubs.com

SSL est un très bon moyen de vous protéger contre les hackers, mais est-ce que c'est un bon moyen de vous protéger contre les Etats? Non!

Une fois que l’on a volé ou pris des informations, surtout à vos alliés, il faut blanchir ces informations. Est-ce que le piratage des données bancaires a initié une initiative de blanchiment appelée “FATCA”? FATCA permet de légitimiser les informations collectée, et de pouvoir les utiliser au niveau légal. L’espionnage permet d’évaluer les impacts, et savoir contre qui diriger ses “canons” légaux.

http://fr.wikipedia.org/wiki/Foreign_Account_Tax_Compliance_Act


Est-ce que cela veut dire que je ne dois plus utiliser Internet?

Non! Cela veut simplement dire qu'on doit savoir que ce qu'on fait actuellement sur Internet peut être intercepté par un État tierce. Qu'il ne peut pas utiliser ces données ouvertement. Faire par exemple un payement sur Internet reste une opération sans trop de risques. Leur but n'est pas de vous vider votre compte bancaire (pour l'instant...)


Comment fixer Internet?

Internet est basé sur l'idée qu'on fait confiance à énormément de sociétés. Microsoft, Apple, Google, Swisscom, Cisco, Symantec (Verisign, Norton), Komodo.

Dans l'état actuel, Internet ne peut pas être fixé si ce n'est installer des logiciels tiers (donc faire confiance encore à d'autres sociétés). Une première étape est d'utiliser Linux, par exemple http://www.ubuntu.com


Marché libéral ?

Pour citer un article :
«Le fait est que la NSA cible certains secteurs qui sont souvent en concurrence avec des entreprises américaines», fait remarquer Glenn Greenwald. Il faut être très naïf, dit-il, pour croire qu'elle ne le fait pas pour obtenir des avantages économiques.
http://www.lematin.ch/monde/suisse-doit-accorder-asile-snowden-estime-journaliste/story/27940069

Il ne faut pas se faire d'illusion. Dans certains domaines « critiques » à l’exemple de la finance et des systèmes de communication, les US n'hésitent pas à tricher. Ils appellent cette triche brevets, jury populaires, sécurité nationale, évasion fiscale, etc

http://www.regards-citoyens.com/article-quand-la-nsa-pipe-les-des-ce-que-les-tres-grandes-oreilles-de-washington-conferent-comme-pouvoirs-120733910.html

On peut parler d'Huawei qui ne peut plus vendre aux Etats-Unis pour « risque à la sécurité ». Les Etats-Unis avaient vivement déconseillé à leur alliés d'utiliser les produits d'Huawei. Est-ce que c'était pour pourvoir continuer à les espionner ?
http://spectrum.ieee.org/tech-talk/computing/hardware/us-suspicions-of-chinas-huawei-based-partly-on-nsas-own-spy-tricks
http://gizmodo.com/5932204/should-the-world-be-scared-of-huawei

On peut parler des cartes biaisées entre Samsung et Apple par les Etats-Unis avec des brevets utilisés comme arme pour faire du protectionnisme biaisé.
http://lexpansion.lexpress.fr/high-tech/proces-apple-samsung-les-zones-d-ombres-du-verdict_1339203.html

Et est-ce que les attaques contre les banques Suisse n'ont pas pour but de les faire sortir du marché Américain ? La finance étant un secteur « critique » pour les USA.


Conclusion

On a vu:
- Que les États-Unis ont le besoin de mettre les banques Suisse sous écoute.
- Qu'ils en ont la possibilité technique avec la complicité de sociétés américaines.
- Que les sociétés américaines sont obligées de participer (Patriot Act)
- Que les États-Unis ne peuvent pas utiliser d'éventuelles données collectées ouvertement. Ils doivent « blanchir » les données. Ce qu’ils font au travers de traités comme FATCA.
- Que les États-Unis sont particulièrement virulents contre les banques Suisses, comme s’ils avaient des informations évaluant les "dommages".

En résumé pas de preuves directes... mais des éléments qui concordent.

Pourquoi cela nous touche aussi?
- Car on risque de devoir passer à la caisse au travers de l'État... pour renflouer des banques.
- Car on risque de devoir passer à la caisse directement au travers de nos comptes bancaires, de taux d'intérêts moins attractifs.
- Car les banques peuvent déduire les amendes de leurs impôts – donc c'est des centaines de millions qu'il faudra financer autrement.
- Les USA attaquent aussi les banques cantonales, donc l’actionnaire principal est les cantons. Qui dit pertes dans les banques cantonales dit potentiellement augmentation des impôts cantonaux.
- Car certains fonds de pensions Suisse vont devoir payer des amendes, donc être renfloués ou payer moins d'argent à des individus en Suisse.
- Car il y a nombre de Suisses qui ont aussi la nationalité américaine et qui ne peuvent plus ouvrir de comptes dans leur propre pays!


Note

Merci aux quelques personnes qui m’ont donné un retour sur le texte!

More »»

OnionShare — la fausse bonne idée

Par SwissTengu @SwissTengu @SwissTengu — 2014-06-04T08:22:21
On en parle dans certains milieux, comme "la" solution pour transmettre des documents confidentiels pouvant servir de base pour des leaks.

Mais une série de questions se posent :
  • Est-ce que cette solution est réellement bonne ?
  • Est-ce qu'elle répond réellement à un besoin ?
  • Est-ce qu'elle ne crée pas plus de problèmes qu'elle n'en règle ?
  • Quand, comment et dans quelles conditions employer cela ?
  • J'ai mon .onion, j'en fais quoi maintenant ?

Il y en a tout un tas d'autres, mais celles-ci sont sans doute les plus importantes, car elles souvlèvent 2-3 problèmes au niveau de la communication sur OnionShare1.

OnionShare, la bonne solution?
Oui et non : ça permet de simplifier la mise en place d'un service caché2 sur le réseau TOR, mais ne règle en tous cas pas l'extraction des données. Imaginez un Snowden en train de faire tourner TOR sur son ordinateur au boulot… Ou sur le laptop d'entreprise qu'on lui a fourni… Les réseaux contenant des données sensibles sont (normalement) surveillés de près, pour éviter des intrusions3 ou, justement, des fuites. Le cloisonnement des accès réseau est aussi de mise en général, tout cela mis bout à bout rend l'utilisation de TOR (ou tout autre service "bizarre") suspect aux yeux des administrateurs réseau, qui n'hésiteront pas à sonner la charge en cas de doute.

Employer TOR sur le réseau de son entreprise4, c'est le meilleur moyen de se faire déboulonner dans les 30 secondes qui suivent le lancement du service.Il convient donc de définir clairement le périmètre d'utilisation de cet outil.

Le besoin
Le besoin auquel est censé répondre OnionShare n'est pas clairement défini : "partagez des fichiers de manière sécurisée"… Cool. Mais dans quel contexte ? Comme expliqué plus haut, cette solution ne peut pas répondre au besoin d'extraire les documents. Elle ne peut répondre qu'à "envoyer les documents à des tiers", et ce uniquement une fois qu'on les a sorti de là où ils étaient avant.

À ce niveau, ne pas délimiter le besoin en présentant l'application peut avoir de graves conséquences pour l'utilisateur : s'il se dit juste "ah cool je serai anonyme via ça pour sortir des secrets de mon lieu de travail", il se foure le doigt dans l'œil. Le manque d'information concernant les risques pose un réel problème — problème qu'on retrouve dans la grande majorité des services et solutions techniques proposées ces derniers temps : quel besoin couvrent-elles réellement, et est-ce que ce besoin correspond bien au mien, dans quel contexte son utilisation ne m'expose pas plus que sans passer par elle… etc.

Les problèmes que cette solution pose
Comme précédemment dit, cette solution technique pose pas mal de problèmes : le contexte d'utilisation, le fait qu'on passe par de multiples couches logicielles qu'on ne comprend pas forcément, l'absence de guide et d'explications concrètes font qu'il serait mieux, à mon sens, de décourager l'utilsation d'OnionShare pour les néophytes. Le problème étant que, justement, OnionShare s'adresse aux néophytes…
Il est fort dommage de ne pas disposer d'une meilleure documentation de la part de l'auteur de ce script, qui se contente de balancer son projet sans aucun support réel.
C'est même criminel, en fait…

Contextes d'utilisation
Comme annoncé, cette solution ne s'utilise pas n'importe comment : de manière à éviter de se faire repérer, il conviendra de ne pas l'utiliser depuis son lieu de travail; à la rigueur depuis la maison, et encore. Aussi, on évitera de l'utiliser dans l'état sur une machine appartenant à son employeur… À moins de passer par Tails5, qui permet de s'isoler du système installé et de ne pas laisser de trace (du moins rien de flagrant).
Comme il s'agit tout de même de lancer un serveur web et de monter un nœud TOR, il faut faire les choses proprement : tenir compte des avertissements quant à l'utilisation de TOR (présents sur le site de TOR6) et de rester prudent.

Il faut garder en tête qu'OnionShare n'est pas un moyen de sortir les données. Vraiment. Sinon, on court droit à la catastrophe, avec en prime une décrédibilisation complète de TOR et des services associés… Certains diraient que c'est le but recherché, pour ma part je n'irai pas jusque là ;).

Bon, ok, j'ai pigé, j'ai un .onion sur un laptop chez un pote… et après ?
Après, il faut transmettre le lien. Pour ça, le mail est en général la manière la plus simple… Mais encore faut-il le faire correctement. Le README mentionne "Jabber7 et OTR8" — c'est une autre manière, permettant en outre de ne pas laisser de preuve flagrante.
Dans tous les cas, il faut chiffrer l'information avant de l'envoyer : que ce soit via GPG, S/MIME, OTR ou autres, balancer le lien de l'onion à travers le réseau sans capote, c'est tout aussi suicidaire que lancer OnionShare sur le réseau de l'employeur… Il vous faudra donc faire le nécessaire avant pour assurer la transmission de l'information. Et faire preuve de prudence…
Mais là encore, aucune information, pas le moindre indice quant aux possibilités, pas de lien vers des solutions logicielles permetant de se protéger la moindre.

En résumé
OnionShare est un outil. Comme tous les outils, il doit s'apprivoiser, se comprendre. En général, on lit le manuel d'utilisation, sauf qu'il n'y en a pas… Aussi, c'est un outil servant à se rendre plus discret sur la toile, son but premier étant de pouvoir mettre à disposition des fichiers de manière anonyme et sécurisée. Pas un simple presse-agrumes électrique. De cet outil peut dépendre la liberté si ce n'est la vie de personnes soucieuses de rétablir un peu de morale et d'éthique dans ce monde vérolé.
À ce niveau, OnionShare ne fournit PAS les garanties nécessaires, et ce pour plusieurs raisons :
  • il suffit d'aller voir les issues ouvertes9 pour se rendre compte qu'il n'est pas utilisable à l'heure actuelle
  • certaines issues sont critiques10, OnionShare partant du principe que TOR est ouvert à tous les vents
  • la documentation en rapport à l'installation de TOR est foireuse, torproject insistant lourdement sur le fait que les packages ubuntu/debian ne sont PAS à jour, et à éviter à tous prix
  • le fait de mentionner le simple fait d'installer TOR au lieu d'insister sur l'utilisation du Tor Browser Budle est un signe qui ne trompe pas : le public-cible n'est PAS les journalistes ou autres hacktivists débutants.

Le Tor Browser Bundle11 intègre tout, que ce soit un navigateur (Firefox), TOR et des configurations du tout pour assurer un minimum de sécurité. OnionShare aurait dû se mettre par-dessus ça. Et ne se baser que sur ça, en premier lieu. Et ne pas mentionner d'installer TOR sur le système. Et mettre les liens qui vont bien pour télécharger TBB, les liens vers la doc d'utilisation etc.

Même si OnionShare part d'une bonne idée et de bons sentiments, il ne faut surtout pas perdre de vue qu'actuellement, on ne peut pas se permettre de jouer les apprentis-sorciers. La surveillance généralisée est en place, et si on a des choses à sortir de quelque part, il faut s'attendre à ce que les issues soient sous surveillance, que ce soit au niveau du réseau ou les accès physiques.

Oh, et, en passant,  l'interface de gestion pour TOR Vidalia12) permet de créer des services cachés… OnionShare perd tout intérêt, à part pour la jolie page web qu'il crée (bon, et le proxy HTTP13 vers le service caché, ok).

Aussi, il vous faut garder ceci en tête : ce n'est pas parce que vous avez un joli marteau que vous saurez planter les clous droits. L'outil ne fait pas le boulot, il faut savoir l'utiliser. Les outils de cryptographie, d'anonimisation et assimilés sont exactement pareils.

Prêt à venir aux prochaines cryptoparties14 ? ;)

More »»

Catégories en relation

End-To-End : le pour, le contre et le truandage

Par SwissTengu @SwissTengu @SwissTengu — 2014-06-10T06:38:36
/static/images/EndToEnd-Icon.png
Google a créé le buzz ces derniers temps avec son plugin Chrome End-To-End1, permettant de chiffrer les mails dans leur interface webmail, en implémentant OpenPGP2 en javascript.
Rien que ça. Idée intéressante, "trendy" vu les révélations de Snowden et la poursuite de la collecte des données personnelles sous toutes ses formes.

Seulement, il convient de se poser quelques questions :
  • Quand on sait que la crypto dans javascript est pourrie, que penser de cette annonce ?
  • Quand on sait que la génération de nombres aléatoires en javascript est une plaie, que penser des clefs générées par ce biais ?
  • Quelle confiance peut-on avoir dans le navigateur conservant les clefs privées ?
  • Quand on sait que Google compte sur le contenu de vos emails pour « mieux vous connaître », « vous proposer les bonnes publicités », « améliorer votre expérience », que pouvons-nous penser de cette extension ?
  • Comment gérer l'utilisation de plusieurs appareils ? Après tout, la clef privée est dans votre instance Chrome sur votre laptop, comment faire pour employer ça sur votre desktop ?

On va tâcher de répondre à ces questions de manière précise. Ça risque de partir dans la technique, mais on va faire en sorte de rendre ces parties facultatives :).

/static/images/js-crypto.jpg
Javascript et la cryptographie : amour impossible ?
Le problème principal est le passif de Javascript : pas mal de personnes se sont cassées les dents en tentant de reproduire des algorithmes de chiffrement, qui se sont révélés vulnérables à différentes attaques3.

Aussi, il y a le problème de la transmission du code au navigateur, la connexion au serveur pouvant être compromise de multiples manières. À priori, ce problème précis n'existe pas avec l'extension End-To-End, puisque tout est embarqué dans le navigateur (si tant est que le téléchargement et l'installation de l'extension ne sont pas compromis ;) ).

Le principal problème avec End-To-End est le fait que les développeurs semblent avoir créé une nouvelle implémentation — il ne semblait pas exister de librairies répondant à leurs besoins au moment où ils ont démarré le projet.
Il faudra donc attendre un certain temps avant de pouvoir faire confiance dans cette nouvelle librairie (et je ne parle que de la librairie, pas de son utilisation), de manière à laisser le temps aux différentes communautés pour valider les implémentations, auditer le code correctement, etc.

À ce niveau, on peut saluer la transparence des développeurs qui mentionnent clairement, dès le départ, que ce projet est en version « alpha » et n'est pas encore utilisable dans l'état.
Donner plus de précisions quant aux raisons aurait été sympa, mais je pinaille un peu sur ce point.

Après, on peut aussi se pencher sur les problèmes de V8, le moteur javascript de Chrome : https://code.google.com/p/v8/issues/list — je vous laisse apprécier les quelques perles qui s'y trouvent.

/static/images/random4.jpg
Javascript, l'aléatoire made-in Debian
Le fameux Math.random()4 retourne une valeur comprise entre [0, 1) (0 inclus, 1 exclu). Le problème principal est que la valeur retournée est basée sur le temps, et peut donc être retrouvée de manière assez simple.
Il ne s'agit donc pas d'un « vrai » nombre aléatoire, tout au plus d'une dérivation et de quelques manipulations5.
Et voir que la librairie en question fait appel à ça me semble un peu… vaseux. On peut donc se poser quelques questions quant à la solidité des clefs générées, le générateur aléatoire étant une des causes principales de faiblesse…

Après, Google semble avoir créé un « truc » qui génère des nombres aléatoires, mais j'avoue que mes compétences pour valider leur procédé sont très limitées (voire absentes)…
Mais employer sha1 est une mauvaise idée6.
Sans parler du fait que SHA1 a été démontré comme « peu sûr », des attaques (théoriques) ayant été démontrées7.

L'extension tente en premier d'employer le générateur natif, mais là encore, il est possible que ce ne soit pas gagné8

On peut donc raisonnablement douter de la solidité et de l'unicité des clefs produites — de là, il est tout autant raisonnable de douter de la sécurité offerte par cette extension.

Le navigateur, coffre-fort des clefs privées ?
C'est l'une des deux choses qui me dérangent le plus : le fait que les clefs privées soient conservées dans le navigateur.
Quelle confiance peut-on avoir, réellement, dans cette application exécutant une multitude de codes divers et (a)variés, dont vous ne maîtrisez même pas la source ?
À ce niveau, les dévs font preuve de transparence et annoncent la couleur : les clefs se trouvant dans le LocalStorage9 ne sont pas protégés contre les accès — leur seule protection est le fait qu'elles soient chiffrées, donc « protégées par un mot de passe »…
Les clefs « en cours d'utilisation », donc déchiffrées et chargées en mémoire, sont protégées par le sandboxing (cloisonnement) des processus au sein de Chrome — là encore, rien n'assure à 100 % que rien ni personne n'arrivera à exploiter une faille quelconque.
Même que c'est précisé : si on active l'envoi automatique des rapports de bugs, il est possible que des bouts de mémoire contenant des éléments de la clef privée soient envoyés lors d'un crash…

On ne peut que se baser sur la confiance qu'on a pour ces développeurs et Google en général. 0, pour moi.

Et le business-model de Google, dans tout ça ?
Bah oui, n'oublions pas comment Google finance le fait de vous fournir un webmail avec 10'000 fonctionnalités, un antispam de qualité, etc : les publicités contextuelles10 !
/static/images/gmail-ads.jpg

Comment comptent-ils faire si tout le monde chiffre ses mails ? Ils ne peuvent, selon leurs propres dires, pas accéder à votre clef privée et donc, logiquement, il leur est impossible de déchiffrer vos correspondances de manière à vous envoyer des publicités ciblées !

De là, plusieurs possibilités :
  • Google se tire une balle dans le pieds (on y croit)
  • Google a laissé une porte ouverte dans son extension pour accéder aux contenus (pratique pour la NSA)
  • Google compte sur le fait que peu de monde utilisera son extension, tout en se rachetant une image un peu moins « evil »

Pour ma part, j'hésite entre la seconde et la troisième, avec un penchant pour cette dernière — la seconde serait possible si et seulement si le code n'était pas ouvert. On peut compter sur les communautés pour se poser les mêmes questions et auditer de manière stricte cette extension.

Bon, j'ai craqué, je l'utilise. Mais j'ai deux ordis…
Pas de miracle, il vous faudra exporter d'un côté, importer de l'autre. Et, évidemment, il sera fortement déconseillé de s'envoyer son keyring par mail.
Clef USB (voire disquettes selon qui vous conseille), volumes chiffrés, etc seront de mise pour un transfert en toute sécurité.
Pas grand chose d'autre à dire sur ce sujet, au final.

Autres considérations
Vouloir pousser les gens à employer des outils cryptographiques est bien. Vouloir simplifier l'utilisation de ces outils est encore mieux. Mais fournir un bout de code douteux, même avec des avertissements, n'est pas une bonne chose :

Il convient de ne pas se précipiter sur cet outil. Pour les multiples raisons invoquées précédemment. Pour d'autres raisons, aussi : après tout, on parle de Google. Google, l'entité qui vous traque où que vous alliez, quelque soit votre appareil, quelque soient vos intentions.
Leurs innovations sont certes intéressantes, mais il s'agit avant tout d'une société privée, ayant des budgets à tenir, des actionnaires à contenter, des retours sur investissements à générer.

Il faudra surtout attendre que des personnes externes à Google se penchent sur le code, sur les implémentations des concepts cryptographiques, etc. Ce n'est pas simple. Cela demande de solides connaissances en mathématiques et en programmation — le fait que ce soit en Javascript ne va pas non plus aider, à mon avis.

Il faut aussi garder en tête que l'extension, dans son état actuel, ne chiffre pas les pièces jointes. Il vous faudra donc les chiffrer à part. Seul le contenu du mail sera chiffré — les données annexes telles que le sujet, les destinataires seront en clair.

Et, à priori, End-to-End ne semble pas prévu pour un autre webmail que celui de Google, ce qui pose 2-3 problèmes annexes ;).

Pourquoi truandage ?
Le mot est peut-être un peu fort. Mais considérons les points suivants tels qu'abordés dans ce billet :
  • Google a besoin de vos contenus pour augmenter les chances que vous cliquiez sur une publicité
  • Google est soumis au Patriot Act, loi le forçant à s'assurer que les autorités US ont accès à vos informations et correspondances
  • Les dirigeants de Google ne sont pas réputés pour valoriser la protection des données personnelles11

Bref. Tout cela me fait penser à une jolie arnaque dont les utilisateurs finaux feront, une fois de plus, les frais.

Pour ma part, je reste avec mon Icedove et Enigmail…

More »»

Catégories en relation

Ce qu'il faut retenir de l'arrestation de Dominique Giroud

Par SwissTengu @SwissTengu @SwissTengu — 2014-06-12T13:19:21
La récente arrestation de Dominique Giroud pour faits de piratages informatiques1 rappelle que les journalistes sont des proies de choix pour les hackers peu scrupuleux :
  • ils ont des informations, souvent inédites
  • ils ont des informateurs, qu'ils se doivent de protéger
  • ils ont du matériel informatique qu'ils ne maîtrisent pas forcément
  • ils n'ont que peu, voire aucune connaissance des outils cryptographiques qui leur permettraient de se protéger

Elle rappelle aussi que la Suisse possède un service de renseignements. Et qu'à voir, ses membres ne sont pas au-dessus de tout soupçon, vu que l'un d'entre eux aurait accepté de renseigner Dominique Giroud.

Quels sont les problèmes, au fond :
  • nos journalistes ne sont pas assez protégés et, pire, ne savent manifestement pas se protéger (on n'a pas le détail quant à la manière dont le hacking aurait eu lieu).
  • on peut y voir un certain manque de contrôle de la part du SRC sur son personnel. Ce n'est, en outre, pas la première fois.
  • de là, la population suisse n'est pas non plus en sécurité.

Plutôt inquiétant non ?

Heureusement, il y a des solutions. Et qui sont relativement simples :
les médias devraient pousser les journalistes à se former aux 2-3 concepts de base de la sécurité autour de leur matériel. Pour cela, se tenir au courant des cryptoparties, approcher les hackers et les hackerspaces semble une bonne idée. Faire en sorte que les journalistes, principalement ceux dits "d'investigation"  suivent une formation leur permettant d'être à l'aise avec des outils cryptographiques de base, pour permettre une communication sécurisée tant pour les informateurs que les journalistes, ainsi qu'une conservation des éléments journalistiques sûre.

Un renforcement des procédures de contrôle au niveau du SRC semble aussi nécessaire. Entre les vols2, des données stockées illégalement3 et, de manière générale, un certain laxisme, ce n'est pas vraiment rassurant.
Ce service a accès à nos informations, accès à des technologies leur permettant de s'introduire dans des systèmes. Qui nous dit qu'aucun d'entre eux ne le fait pour son profit personnel, ou celui d'un proche ou d'une connaissance ? Rien, absolument rien.

Cela ne concerne pas que les journalistes, mais bien tous les citoyens. Ces derniers doivent, eux aussi, apprendre à se protéger contre les oreilles indiscrètes. Même (voire surtout) si on pense ne rien avoir à cacher. Cette excuse pour ne rien faire est fausse, archi-fausse : ce n'est pas NOUS qui décidons de ce qui est réellement important pour les services de renseignements. Mais eux. Le fait que vous parliez à Rachid, originaire de Libye, peut vous sembler anodin. Il n'en n'est rien pour les renseignements.

Ne perdons pas de vue non plus que le Département fédéral de justice et police, plus précisément la police fédérale (fedpol) est en train de se doter des outils nécessaires (et suffisants) pour une écoute massive sur les réseaux : des produits Verint, un budget de plusieurs millions de francs annuels4 et, dans la foulée, un centre de données.

De bien jolies choses en vue.

More »»

TOR Exit Node - Österreicher wegen Mittäterschaft verurteilt

Par cta @christiantanner @christiantanner — 2014-07-02T08:36:42
Das Landesgericht für Strafsachen in Graz, Österreich hat den Betreiber eines TOR Exit Nodes der Mittäterschaft an der «strafbare Darstellung Minderjähriger» schuldig gesprochen. Bis zu diesem Urteil galt auch in Österreich die Meinung, dass die Betreiber der Infrastruktur nicht für die übermittelten Inhalte verantwortlich sind. 

Dieses Urteil ist höchst frustrierend. Es zeigt erneut, dass die Rechtsprechung das Internet schlicht und einfach nicht verstanden hat; oder - noch schlimmer - es als etwas ganz und gar schlechtes ansieht. Das Gericht hat den Betreiber des Exit Nodes anhand §12 öStGB verurteilt: 

Behandlung aller Beteiligten als Täter
§ 12. Nicht nur der unmittelbare Täter begeht die strafbare Handlung, sondern auch jeder, der einen anderen dazu bestimmt, sie auszuführen, oder der sonst zu ihrer Ausführung beiträgt.

Machen wir mal einen Schritt zurück. Wer einen TOR Exit Node betreibt, hat keine Kontrolle über die Daten, welche darüber laufen. Das ist der Sache inhärent. Gemäss Urteil ist die Betreibende Person dennoch dafür verantwortlich. Das entspricht in etwa der Ansicht, dass der Hersteller eines Brecheisens für den damit begangenen Einbruch verantwortlich ist. Oder der Automobilhersteller für die Geschwindigkeitsüberschreitung. Oder der Strassenbauer für die Fahrerflucht. Das ist Unsinn. 
Die einzige einigermassen zulässige Analogie ist die Verantwortung eines Schusswaffenherstellers für die mit der Waffe begangene Gewalttat. Eine Schusswaffe dient keinem anderen Zweck, als der Gewaltanwendung. Und anscheinend sieht das Landesgericht Graz TOR genau in diesem Licht: ein Medium, welches ausschliesslich der Begehung von Straftaten dient.

Diese Ansicht ist falsch! Und sie ist gefährlich für den Schutz der Privatsphäre. Es gibt genügend gute, legitime Gründe, sich anonym im Internet zu bewegen: Journalisten recherchieren anonym, Eltern wollen die Privatsphäre ihrer Kinder schützen, Menschen wollen sich vor staatlicher Überwachung schützen, sie wollen der personalisierte Werbung privater Anbieter entgehen, etc. 

Dieses Urteil wurde in Österreich gesprochen und ist somit für die Schweiz nicht anwendbar. Dennoch ist es wichtig, hier aufmerksam zu bleiben. Zu weit verbreitet ist die Ansicht, dass sich nur Kriminelle für ihre Privatsphäre interessieren. Auch weil sich zu viele Menschen viel zu wenig für Ihren Schutz und ihre Verteidigung einsetzen. Es ist an der Zeit, das zu ändern. Jetzt

---
Links:
Beitrag zum Urteil: https://network23.org/blackoutaustria/2014/07/01/to-whom-it-my-concern/
Link zum relevanten Artikel öStGB: https://www.ris.bka.gv.at/Dokument.wxe?Abfrage=Bundesnormen&Dokumentnummer=NOR12029553
Information der Electronic Frontier Foundation - EFF zu TOR: https://www.eff.org/deeplinks/2014/07/7-things-you-should-know-about-tor

More »»

Travail en déplacement : tenir compte de l'environnement

Par SwissTengu @SwissTengu @SwissTengu — 2014-07-16T06:29:12
Ahh, les vacances… C'est cool, les vacances, l'occasion de prendre l'avion, le train, le bus. L'occasion de faire des trajets plus longs que d'habitude. L'occasion de voir des gens, enfin, de les croiser. Des inconnus, certains en déplacement pour affaires, d'autres, comme vous, en vacances.

De manière générale, avec les moyens techniques actuels, de plus en plus de personnes travaillent durant leurs temps de transport. Le temps, c'est de l'argent, n'est-ce pas ? Chaque seconde compte.

Seulement, il faut faire attention. Le train n'est pas votre bureau. L'avion non plus. Votre chambre d'hôtel pourrait s'en approcher. Mais là aussi, il y a quelques précautions à prendre.

Durant un de mes trajets, j'ai pu voir en pratique comment les gens se comportent dans les transports : on allume un laptop, on se met dans une position confortable, dossier un peu baissé. L'écran à luminosité maximale, police de caractère confortable pour un myope. Et comme on veut bien voir depuis notre position, on incline l'écran comme il faut.
Tout ceci, sans prêter la moindre attention à ce qu'il se passe derrière soi.

Vous voyez où je veux en venir ? Non ? :)

Ne pas regarder ce qu'il se passe derrière soi, commencer à travailler sur des données professionnelles et s'absorber dans sa tâche vous coupent du monde extérieur; vous êtes dans votre bulle. Confortable et en sécurité. Du coup, vous lisez vos mails, les noms des contacts apparaissent en gros dans votre client Outlook ou IBM Notes. Des noms, des informations, parfois des chiffres, des données marketing. Peut-être des données médicales, qui sait ?
Toujours sans prendre garde à ce qu'il se passe derrière vous.

Est-ce plus clair ? Non, toujours pas ? :)

Absorbé dans votre travail, vous avez besoin de passer un coup de téléphone pour une raison ou une autre. Facile, le mobile est là, à portée de main. Pas d'oreillette, de toutes façons, c'est toujours en panne, ces machins Bluetooth. Ni une ni deux, vous appelez votre secrétaire, à tous hasard. Et vous discutez boulot.
Des noms fusent, des informations. Des chiffres, encore. Pourquoi pas, à nouveau, des données médicales sur un patient. Ou, allez, soyons fou, des données judiciaires sur un client dont vous êtes l'avocat.
Là encore, vous êtes dans votre bulle. Le monde extérieur à votre boulot n'existe pas.

Et pourtant… Des gens sont là. Des particuliers, des employés, des vacanciers, des gens en déplacement d'affaire, tout comme vous.
Même des concurrents, qui sait ? Des personnes engagées pour récolter les bribes de discussions, de noms, de données diverses, tout ce que vous laisserez échapper de votre conversation téléphonique, ou défilant sur votre écran 17", dont la position permet à la personne derrière vous de tout voir, tout suivre.

De ma place, dans un transport, j'ai pu voir, sans aucun effort, quelqu'un préparer une présentation sur les chiffres, opportunités, dangers etc de son entreprise.
Manifestement, un responsable marketing d'une entreprise bossant dans le médical, sans doute proche des banques de sang, proche des maladies graves etc…
Je n'ai pas cherché à en savoir plus que ce que j'ai pu avoir. Ça suffisait largement :
  • nom de la personne
  • nom de ses plus proches collaborateurs
  • nom de l'entreprise
  • chiffres de l'année dernière
  • possibilités et planning de l'année en cours
  • projections diverses sur les ventes
  • mise en perspective des risques (telle ou telle action dans le milieu pourrait mettre en danger les revenus de la société)
  • … et encore pas mal de choses

De quoi mettre en place un peu d'ingénierie sociale1 parfaitement ciblée. Et pourquoi pas, contacter un concurrent direct qui pourrait être intéressé par certains éléments. Pensez, connaître les craintes et faiblesses de son "adversaire", il n'y a pas mieux pour lui couper l'herbe sous le pied !

Le cas que je décris n'a pas impliqué d'appel. En avion, c'est un peu délicat ;).

Qu'est-ce que la personne aurait pu faire pour éviter de dévoiler tout son univers ? Pas mal de choses, en fait, à commencer par éviter de baisser son dossier. Ou baisser celui d'à côté aussi, ce qui aurait passablement gêné ma vue (il était venu exprès devant moi parce que la rangée était libre — à voir il avait pensé au voisin et à la travée. Ou c'était juste par confort).
Ensuite, un truc tout simple : régler la luminosité de l'écran. La baisser permet d'avoir un contraste bloquant la vision lointaine. Aussi, des protections physiques d'écran permettent de réduire passablement la visibilité depuis les côtés : à moins d'être bien en face, on ne verra qu'un carré noir2.

Solutions pas chères, permettant de protéger son environnement de travail ainsi que son employeur. Et donc son job, au final.

Il va sans dire que l'appel à un collègue est à éviter dans la mesure du possible : un mail sera plus sûr. Enfin, s'il est chiffré, évidemment ;).

Concernant la chambre d'hôtel, il y a aussi pas mal à dire. Il est clair qu'il y a peu de chance qu'un voisin indélicat ne vienne lire par-dessus votre épaule. Encore que, parfois, c'est "chambre commune" ;). Ou encore, du "personnel indélicat"3… En fait, ne laissez jamais votre matériel sans surveillance, c'est plus sûr ;).
Non, le problème est plus au niveau de la connexion réseau : les hôtels offrent de plus en plus du wifi gratuit. Certains proposent un câble dans la chambre, offrant un poil plus de sécurité, mais ce n'est même pas l'idéal (on verra pourquoi plus bas).

Commençons par le wifi : vous arrivez dans un hôtel, vous voyez un ESSID genre "mon-hotel-guest", ouvert. Que faites-vous ? 99% des gens vont se connecter. Là, comme ça. Sans demander à l'hôtel s'ils ont un Wifi, son nom etc.
Vous venez de vous connecter à une borne pirate, vos communications sont enregistrées, déchiffrées (après tout, pourquoi ne pas tenter un MitM4 SSL, au bluff)…

Si, par hasard, il s'agit bien du bon réseau (ce qui est, en occident du moins, la majorité des cas), ne vous croyez pas à l'abri pour autant : sniffers, packet interception et autres ont toutes les chances de tourner sur le réseau, surtout autour des grands hôtels, réputés pour une clientèle riche ;). Rien de tel que de tomber par hasard sur des partages Windows (ou MacOS, voire Linux) sans authentification permettant d'accéder à TOUS vos documents.
Parce que vous l'aviez activé une fois, pour dépanner et que vous avez bêtement oublié de désactiver.

Le problème se pose aussi avec les câbles : bien que le risque de tomber sur un réseau pirate est moindre (mais non nul !), les sniffers et autres étant moins présents (mais pas complètement absents !) parce qu'il faut se trouver dans une chambre, votre ordinateur a toutes les chances de se retrouver à poil face aux autres.

On peut se protéger contre ces divers cas. Mais ça demande un peu d'infrastructure, principalement côté "entreprise", d'ailleurs : un VPN, par exemple, vous permettra de naviguer en eau trouble sans trop de problème. Enfin, seulement SI votre appareil est fermé au monde extérieur, en refusant par exemple toutes les connexions entrantes à l'aide d'un firewall.
De manière générale, quand vous devez aller bosser en mode "road warrior"5, il convient d'avoir un ordinateur dédié à cela. Avec le minimum d'informations dessus.
Dans l'idéal, c'est un appareil mis à disposition par votre entreprise, préparé pour votre voyage. Qui est réinitialisé à 100% lors de chaque retour. Qui n'est jamais branché sur le réseau de l'entreprise. Sauf via VPN, en vous faisant arriver dans une zone spéciale du réseau.

À ce niveau, les contraintes sont nettement plus du côté de l'entreprise que de l'employé : ce dernier devrait, au final, simplement réserver une machine, passer la prendre avant de partir, et la rendre en rentrant. Point.

Il est malheureux de constater que, trop souvent, ces élémentaires précautions sont ignorées : pas le temps, pas les moyens financiers d'avoir assez de matériel en réserve, pas le personnel pour gérer correctement cela; pas de procédure en place pour les cas de perte, vol, matériel compromis.

Il faut aussi garder en tête que ces précautions ne concernent pas que les entreprises du CAC406 : des PMEs, startups sont tout aussi susceptibles d'êtres des cibles, surtout si elles sont dans des domaines porteurs. Sans parler des journalistes, dont un vol de données peut mener à des conséquences désastreuses : sources d'informations dévoilées, articles volés, chantage, et j'en passe.

Les particuliers aussi devraient avoir une certaine hygiène numérique : éviter de se promener avec les photos de sa copine en dentelle ou de son copain en string léopard. Ou ses déclarations d'impôt au format numérique. Ou des données relatives à son train de vie, son adresse etc.
M'enfin, dans ce dernier cas, on a de toutes façons tout sur Facebook, vous me direz ;).

Pensez à regarder autour de vous quand vous utilisez du matériel connecté : ça ne coûte rien. Ça ne vous fera pas passer pour un paranoïaque, malgré ce que vous pouvez penser. Un regard circulaire, pas besoin de s'attarder sur le premier quidam passant par là. Demandez les accès Wifi à la réception de l'hôtel. Mettez-vous dans un coin pour travailler. Évitez d'être dos à une fenêtre (en plus, c'est mauvais pour la lisibilité sur l'écran, à cause des reflets).

Prenez conscience de votre environnement et, qui sait, vous ferez peut-être même des rencontres en vous intéressant à ce qui vous entoure ;).

T.

More »»

Banques vulnérables à POODLE — mais pas seulement.

Par SwissTengu @SwissTengu @SwissTengu — 2014-12-18T16:26:18
Un article, paru dans Le Matin du jour1, met en avant des problèmes de configuration des serveurs e-banking de deux organismes bancaires suisses.

Les commentaires, outre le fait qu'ils passent juste à côté du sujet principal, montrent aussi le manque de connaissances des utilisateurs de ces services. La réponse d'une des banques citées2 est, quant à elle, un ramassis de langues de bois.

Penchons-nous un tout petit peu sur le fond du problème.

POODLE
Sous ce joli nom tout mignon se cache un truc un peu vicieux. On ne va pas entrer dans les détails, déjà expliqués en long3, en large4 et en travers5.
Ce qu'il faut retenir, c'est que c'est exploitable moyennant un peu de connaissances techniques, et que ça permet, entre autres, de récupérer un cookie6 de session7, permettant à un attaquant de vous personnifier auprès des services demandant une authentification (comme une banque, par exemple).

Il est certain que les instituts bancaires ont des mesures de sécurité empêchant un cookie d'être réutilisé. On imagine sans peine que les adresses IP sont contrôlées lors de chaque action, de même que les éléments fournis par les navigateurs des clients. De toutes façons, les informations utilisables pour de tels contrôles sont enregistrées pour le suivi des transactions, leur validation, etc. Avec ou sans POODLE, Heartbleed ou autres à venir.

Il est donc clair que le système e-banking en soi est sécurisé ou, du moins, ne devrait pas être assez mauvais pour que POODLE soit réellement efficace.

C'est quoi le problème alors ?
Le problème, enfin, les problèmes, sont mutliples.

En premier, le silence des banques face à POODLE. Mais pas seulement : peu ont communiqué suite à Heartbleed8 qui a pourtant été pas mal médiatisé. En gros, on paie les banques pour un service et un accès par voie électronique (e-banking), mais on ne sait jamais réellement si elles sont au courant des failles, ni ce qu'elles font pour nous protéger, nous, les clients qui leur confions notre argent.

Outre le silence, le temps de réaction est affligeant : il faut compter des semaines si ce n'est des mois avant de voir le correctif appliqué.

Dans le cas précis de la BCV, on pourra aussi noter leur superbe résultat sur SSLlabs9, montrant qu'ils n'ont pas forcément les moyens de contester quoi que ce soit : leur configuration SSL est mauvaise, du certificat SSL mal fait jusquà la configuration de leur serveur web. Même leur certificat intermédiare est faux et comporte des éléments en trop…

/static/images/bcv-fail.png

Dans le cas de la Raiffeisen, pareil, leur résultat10 est tout aussi parlant, bien que meilleur que la BCV. Ce qui n'est, en soit, pas très dur…

/static/images/raiffeisen-fail.png

Et alors… C'est sécurisé, oui ou non ?
Oui. Enfin… On ne peut que l'espérer, à savoir que le protocole de connexion est pourri, donc on doit faire confiance au backend (l'application d'e-banking) pour qu'elle possède les contrôles nécessaires, et qu'elle soit exempte de failles exploitables. Errare humanum est, comme disait l'autre.

Sans tomber dans la paranoïa complète, voici quelques conseils pour éviter les problèmes en attendant que la situation soit claire :
  • Ne jamais employer une connexion publique sans fil
  • Éviter de passer par les connexions mobile (oui, même avec leur app, le réseau DATA mobile est insécure)
  • Contrôlez que le certificat soit bien émis par une autorité reconnue (VeriSign pour la BCV,  et QuoVadis Global pour Raiffeisen)
  • Dans la mesure du possible utilisez la connexion de votre domicile.

Note: l'émetteur du certificat. À ce niveau, rien n'est gravé dans le marbre, surtout en sachant que ces deux banques ont "prévu de corriger le problème" début 2015. 

Mot de la fin
Ce qui est consternant dans toute cette histoire, c'est le manque de communication des banques.
Si elles savent qu'elles sont protégées, pourquoi ne pas le mettre sur leur page d'accueil ?
Quand on les contacte par mail, en passant par leur messagerie interne (accessible uniquement par les clients donc), pourquoi ne répondent-elles pas ?

Ce qui est aussi consternant, c'est de voir que des instituts censés protéger leurs usagers ne semblent pas prendre réellement au sérieux l'image qu'elles donnent d'elles-mêmes : en effet, se ramasser un F pour un truc aussi basique qu'une configuration SSL, ça ne donne pas confiance.

Pour notre part, cela nous fait nous interroger sur les compétences de leurs équipes (ou prestataires) à gérer correctement une infrastructure.
Du coup, est-ce que nos données sont réellement protégées ?
Est-ce que tout est réellement mis en œuvre pour éviter les fuites ou les vols ?

Autant de questions qui, nous le craignons, resteront sans réponse. Le manque de transparence à ce niveau est mauvais, et n'inspire en tous cas pas la confiance requise pour confier son argent et ses données à de tels instituts.

En comparaison, la connexion fournie par EthACK est plus sécurisée que celle de ces deux banques11. Et on ne vous fait rien payer pour ça ;).

/static/images/ethack-ssl.png


More »»

Superfish, ou comment Lenovo tue la confiance en SSL/TLS

Par SwissTengu @SwissTengu @SwissTengu — 2015-02-19T18:03:34
Lenovo ont fait fort, très fort : en installant une application d'un partenaire commercial, ils viennent de tuer le fonctionnement même de SSL/TLS et de la chaîne de confiance autour de cet écosystème.

Pire que POODLE, Heartbleed et autres failles au niveau des protocoles, on vous présente Superfish.

Superfish, c'est le nom d'une société (Superfish Inc) américaine. Elle fournit, entre autres, une application insérant de la publicité dans vos pages Web, en faisant tourner sur votre machine un serveur, et en forçant les connexions de votre navigateur à passer par lui (un mot : un proxy1).

Là où le bât blesse, c'est que ce proxy insère aussi du contenu dans les connexions chiffrées (vous savez, le petit httpS, avec le cadenas). Or, les connexions sécurisées sont, justement, censée éviter ce genre de comportement.

Comment se fait-il qu'un tiers se trouvant entre vous et, disons, Facebook (ou Twitter, ou votre banque) arrive ainsi à injecter du contenu ? Simple : l'application de Superfish génère des certificats à la volée, déchiffre le contenu, et rechiffre derrière.

Sauf que, normalement, votre navigateur devrait crier : le certificat de votre site n'est pas valide, parce que Superfish n'est pas une autorité de certification reconnue… Et bien, cher lecteur, chère lectrice, grâce à Lenovo, Superfish est considéré comme une autorité de confiance par votre ordinateur !

En effet, Lenovo ont commis une énorme bourde : ils ont installé le certificat de Superfish au cœur de votre système, en lui octroyant, en plus, la confiance maximale ! Du coup, les certificats créés à la volée par le proxy de Superfish sont considérés comme valides.

Mais ce n'est pas tout : pour signer les certificats générés, l'application de Superfish possède la clef. Évidemment. Sans cette clef, le proxy ne pourrait pas signer le certificat généré, et donc il n'y aurait pas moyen d'éviter que votre navigateur ne crie au scandale.
Évidemment, la clef est chiffrée. Mais comme elle est disponible sur quelques milliers de machines2, qu'elle circule déjà sur le Net3, on ne peut pas vraiment dire que ce détail va retenir des hackers de s'y mettre4.
Du coup, n'importe qui peut signer un certificat via l'autorité de Superfish.

Vous voyez où on veut en arriver ? Non ? Bon, reprenons :
vous êtes sur votre site d'achat favori, en SSL/TLS, donc connexion chiffrée. Vous faites vos petites affaires, pensant "c'est bon, je peux donner ma carte bancaire, y a le cadenas". Mais est-ce le bon certificat ? Combien d'entre nous vérifie l'émetteur du certificat ? Combien prennent le temps de réellement vérifier ? Pas des masses.

On ne parlera pas non plus de l'effet avec les mails de phishing5 — à ce niveau, Superfish pourrait être renommé en SuperPhish. Les possibilités sont infinies, à partir du moment où le nombre de cibles potentielles se mesure par le nombre de clients d'un des plus gros distributeurs de matériel informatique.

Et, cette fois, n'importe qui peut vous écouter : de votre voisin, au petit hacker boutonneux. Et sans aucun effort, surtout sur votre réseau local donc la clef WPA est "mon chien s'appelle Fido" voire, plus trivial, votre numéro de téléphone. En quelques manipulations très simples, voire enfantines, on peut faire en sorte que votre trafic passe par une machine sous notre contrôle, possédant les applications nécessaires6, et vos actions sur le Net n'ont plus aucun secret.

Ce qu'a fait Lenovo, c'est juste briser la chaîne de confiance, déjà mise à mal maintes reprises7

En installant de manière globale cette autorité, Lenovo a démontré que les fabricants ne savent pas ce qu'ils font. Qu'on ne peut pas leur faire confiance. Que le système complet des autorités de certification n'est pas fiable : s'il faut, à chaque fois qu'on achète un ordinateur ou, plus généralement, dès qu'on installe quelque chose dessus, s'assurer que le cercle de confiance n'est pas compromis, on n'est pas près de s'en sortir. Personne ne prend la peine de contrôler le keyring système. Plus de 600 autorités diverses, des autorités privées, étatiques, locales… La tâche est impossible. Comment savoir lesquelles sont ne serait-ce qu'utiles ? De là à déterminer nous-même lesquelles sont de confiance…

Mais c'est un autre sujet (tout aussi intéressant cela dit : quelle confiance peut-on avoir dans les autorités de certification ?).

Revenons sur Superfish. Dans le cas où vous avez récemment acheté un ordinateur Lenovo (bien qu'à notre sens il ne faille en aucun cas limiter à cette seule marque), voici les différents points pour vous assurer que vous n'êtes pas compromis par ce certificat vérolé :
  • Exécutez certmgr.msc (Windows+r pour avoir l'invite de commande)
  • Allez dans la partie "Autorités de certification racine"
  • Cherchez "Superfish Inc."

Si vous la trouvez, supprimez-la.

Vous pouvez aussi passer par ce site8 qui vous donnera une indication — mais l'option "vérification manuelle" décrite ci-dessus est la plus sûre.

Il vous faut aussi contrôler dans les logiciels installés que les produits de Superfish Inc sont absents. Histoire d'éviter qu'ils tournent, se mettent à jour ou que d'autres joyeusetés de ce genre n'arrivent.

Cette histoire montre à quel point nous, consommateurs, sommes dépendants des fournisseurs.
Cela montre aussi à quel point les fournisseurs ne peuvent pas avoir notre confiance — or, en sécurité, malheureusement, beaucoup de choses se basent sur la confiance (pour l'utilisateur final).
Nous, consommateurs, n'avons pas les connaissances nécessaires pour repérer les erreurs (volontaires ou non) commises sur des produits qu'on achète.

More »»

Catégories en relation

Vol de clefs de chiffrement : conséquences possibles

Par SwissTengu @SwissTengu @SwissTengu — 2015-02-20T15:53:18
Décidément, la semaine est chargée : après Lenovo et ses partenariat commerciaux boiteux, on apprend que nos chers amis de la NSA et du GCHQ ont volé plusieurs millions de clefs cryptographiques employées par les cartes SIM.
La principale cible est le fournisseur Gemalto1 l'annonce provient de First Look2, après analyse des documents fournis par Edward Snowden3, en 2013.

Gemalto ne confirme ni n'infirme4 l'annonce pour le moment. Mais il convient de s'intéresser à ce que signifie, pour la protection de nos communications, un pareil vol.

Mobile ID
Vous savez, ce moyen merveilleux de valider votre identité5 auprès de certaines entités, comme Postfinance6 par exemple.

Il se base, bêtement, sur la carte SIM et sa sécurité… Sécurité qui est donc, à priori, explosée ou, à tout le moins, fortement diminuée. Au temps pour la simplification des authentifications.

Cartes SIM pour paiement sans contact
Oui, le NFC peut aussi se retrouver directement intégré à votre carte SIM7, profitant là encore des capacités de sécurisation de ce petit bidule.

Bon, donc là aussi, ça prend une baffe.

Communications
La partie "crypto" embarquée dans les cartes SIM a plusieurs rôles, dont celui de vous authentifier auprès des antennes. Ou encore de chiffrer vos communications avec ces antennes. Et ce sont ces clefs de chiffrement qui ont été volées. Donc la clef de vos communications.

Déjà que la communication mobile n'était pas un exemple de sécurité8, mais là ça devient carrément catastrophique.

Nos fournisseurs nationaux de téléphonie mobile se gardent bien de répondre aux différentes questions posées sur les réseaux sociaux. Les médias ne semble pas non plus s'y intéresser (pensez donc, HSBC se fait enfin tacler, et DSK est relaxé) — du coup, il y a fort à parier que rien ne filtrera dans notre beau pays peuplé de licornes roses et de bisounours tout mignons.

En tant que client, vous, cher lecteur, devriez pouvoir accéder au service client et insister pour savoir si votre fournisseur de service emploie des cartes SIM fournies par Gemalto, et ce qu'il compte faire dans le cas où les révélation de Snowden se révèlent, une fois de plus, exactes.

Il en va de la sécurité de vos données, de vos communications. Vous n'avez, certes, "rien à cacher" : vous n'êtes pas un terroriste en phase de radicalisation, ni un pédophile croqueur de chatons. Mais cela n'est en aucun cas une raison pour laisser faire — une puissance étrangère qui agit de la sorte devrait être mise au pilori.
On n'est pas loin d'un acte de guerre, d'autant que Gemalto n'est ni un fournisseur d'armes, ni un trafiquant, ni un ennemi. Juste une entreprise privée bossant dans la crypto. Ça aurait pu être n'importe qui d'autre.
D'ailleurs, il semblerait que Gemalto ne soit pas la seule à s'être faite exploser.

Il est plus que temps de saisir les autorités, de faire ouvrir des enquêtes sur les agissements de la NSA, du GCHQ, des liens du SRC9 et du DFJP10 avec les services et fournisseurs étrangers11.
Et, pourquoi pas, le DDPS12 tant qu'on y est, plus particulièrement la partie "Armée Suisse" :  les drones achetés proviennent d'un pays ne respectant pas vraiment les droits de l'homme et faisant tout pour annihiler une population locale…

Nous, citoyens suisses, avons les moyens de faire bouger les choses. Nous pouvons alerter nos représentants au gouvernement. Nous pouvons imposer des changements.

Nous devons le faire, pour que notre démocratie perdure malgré la multiplication des attaques extérieures. Ça commence par la protection de notre sphère privée.

More »»

C'est juste pour le terrorisme

Par SwissTengu @SwissTengu @SwissTengu — 2015-07-01T06:28:18
De plus en plus, on entend des sorties "c'est contre le terrorisme", "c'est pour la sécurité des citoyens", etc.
De plus en plus, on entend aussi des choses dans le genre "il faut forcer les développeurs à donner les clefs de chiffrement".

On entend aussi des personnes qui mettent les deux ensemble : "dans le cadre de la lutte contre le terrorisme, il faut qu'on puisse obliger les entités à fournir les clefs de chiffrement" (bon, ok, comme toujours ils disent "de décryptage"… mais passons).

Arrêtons-nous deux minutes et réfléchissons à tout cela. On se rend compte en moins de 30 secondes que cette idée implique donc un cas d'exception. "Pour lutter contre le terrorisme". Et dans ces cas d'exceptions, on demande des mesures d'exception. "Fournir les clefs de chiffrement".

Mis à part le fait que du moment qu'une exception est créée, des personnes à l'esprit très brillant vont aussitôt s'engouffrer pour proposer d'appliquer cette exception à un autre cas, puis un autre, ce jusqu'à ce que l'exception devienne norme — cela, de toutes façons, on va nous sortir que non, le cadre légal est précis. Et blah-blah-blah. Bref.

Non, ce qui est intéressant, c'est d'imaginer comment une entité mettra à disposition des clefs de chiffrement. Des exemples comme Threema ont été cités. Le fond de commerce de cette application étant le chiffrement asymétrique1 et le fait que les clefs de chiffrement sont sur les appareils, je les vois mal commencer à vouloir récolter les clefs "à des fins de possible enquête et déchiffrement ultérieur". Ou créer une backdoor pour que les clefs puissent être rappatriées (encore que…).
En cas de soupçon de ce genre de pratique, Threema pourra mettre la clef sous la porte.

Une application dont le code est ouvert, dans le genre de Telegram par exemple, ne pourra simplement pas implémenter cela sans s'attirer les foudres de la communauté.
Et, dans le cas où l'application utilise une autre technique de chiffrement (OTR2, à tous hasards), ça devient encore plus drôle : les clefs changent, et la clef "actuelle" ne permet pas de déchiffrer les messages précédents, et ne permettra pas de déchiffrer les messages suivants.

Bref… La transmission elle-même n'est de loin pas assurée, ni assurable. Ça détruira le modèle économique de pas mal d'entreprises, avec les conséquences qu'on peut imaginer. Ouep, je vous ressort le discours d'Economiesuisse ;). Des fois il peut avoir du bon.

Bon, admettons, pafff, coup de baguette magique, y a une solution. La police (et, ne nous voilons pas la face, les services de renseignements divers et (a)variés) peuvent demander (ou s'octroyer) l'accès aux clefs de chiffrement et de déchiffrement. On sait pas comment, mais ça marche ;). Bref.

Comment ces clefs seront-elles stockées ? Je ne sais pas pour vous, mais j'ai pas mal de raisons de douter de la capacité tant du SRC3 que des autres, Fedpol4 comprise, pour conserver des données confidentielles sans la moindre fuite.

Résumons vite-fait : les clefs peuvent difficilement être transmises par les entités fournissant les services de messagerie chiffrées, et le stockage de ces clefs est lui-même des plus incertains.

Ajoutons à cela le fait que les exceptions sont faites pour devenir des normes par la force des choses ("pensez aux enfants", "pensez à l'espionnage industriel", etc), les outils crpytographiques (du moins ceux à bases de clefs statiques) ne serviront plus à rien. Ni pour les vilains, ni pour les gentils.
Le problème étant : les vilains, ils ne sont pas complètement stupides — du moins pas tous. Ils ont des capacités, entre autres financières, pour obtenir des systèmes de communication sécurisés, décentralisés. Des moyens qui les mettront donc hors de portée des services de renseignement et de la police. Laissant les gentils à la portée du premier hacker venu ayant assez de baloches pour hacker fedpol ou toute autre entité à la sécurité vaseuse. Et la sécurité générale ne sera pas meilleure, mais, bien au contraire, encore plus mauvaise, du moins pour les citoyens — on pourra compter sur les États pour se fournir en applications et systèmes, aux frais des citoyens.

En somme, vous l'aurez compris, ces propositions sont dangereuses, et n'apportent rien au niveau sécurité. Un peu comme les projets de lois sur le renseignement, en somme : accumulation de données, pour rien, représentant une masse tellement énorme qu'elles ne seront pas traitées.
Un peu comme en France5, où des dossiers complets sont ignorés, des dangers dé-fichés, des données passant dans l'angle mort…

La surveillance globale telle que préconisée par la plupart des services ne sert à rien — les USA sont en avance à ce niveau… Boston n'a pas pu être évité, et le nombre d'attentats "annulés" change à chaque audition.

More »»

Catégories en relation

Je sécurise mes contenus en zip ou assimilés

Par SwissTengu @SwissTengu @SwissTengu — 2015-08-04T18:15:32
Non, ce n'est pas une blague. Y a même tout un article1 sur une personne, sans doute très bien et consciencieuse, qui explique avec sérieux protéger les informations "très sensibles" envoyées par mail sur un PDF protégé par un mot de passe ou en zip.

Si le premier semble une bonne idée, il convient de rappeler que les mots de passe PDF ne sont pas gage de sécurité, une simple recherche2 permet de s'en rendre compte.

Quant au second… Si "unzip " permet d'accéder au contenu, on ne peut pas vraiment parler de protection. Certains vont parler des mots de passe sur les archives ZIP (voire RAR)… Là encore, non3.

Malheureusement pour cette personne, les données confidentielles pour lesquelles elle signe des NDA4 sont en fait à poils sur le Net. Super.

Maintenant que ces choses sont dites et (je l'espère) claires… "Comment qu'on peut faire pour protéger les contenus confidentiels qu'on communique à droite ou à gauche !?"

Différents systèmes existent, certains pas du tout conviviaux mais offrant une sécurité au top, d'autres carrément plus cools et clic-o-convi tout en offrant une sécurité à priori correcte.

Le pas convi : GPG via Enigmail ou GPGTools
On a tous ou presque entendu parler de GPG5 ou PGP6 et, surtout du fait que cet outil est tout sauf intuitif, pratique et orienté "utilisateur final" : il faut faire des "échanges de clefs", il faut "régler le niveau de confiance", "signer des clefs", "générer des certificats de révocation"… Autant de termes barbares, le tout le plus souvent géré dans des interfaces peu intuitives.
Sans même parler du fait qu'il faut se souvenir d'un nouveau mot de passe…

Bref. GPG est sympa tout plein, mais, franchement, à part des geeks barbus et quelques illuminés, pas grand monde l'utilise. Dommage. Parce que l'outil en soi est excellent.

Le convi : les solutions "tout en un"
Heureusement, des solutions existent et, il faut l'avouer, elles sont séduisantes : imaginez une interface à-la gmail, vous offrant tout le confort d'un client mail tout en vous offrant un moyen de communication chiffré.

C'est le cas, entre autres, de Protonmail7, une solution basée en Suisse, et Tutanota8, une solution libre basée en Allemagne.

Ces solutions offrent une interface simple, efficace et, du moins sur le papier, assurent que les communications effectuées par ce biais sont chiffrées de bout en bout, sans aucun moyen tant pour le fournisseur du service que quiconque autre que vous et le destinataire d'accéder au contenu du mail ou de ses pièces jointes.

Contrairement à GPG, ces deux applications ne demandent pas un "échange de clef", ni la gestion d'un trousseau de clefs, ni rien de tout ce genre.

Dans le cas où votre contact n'a pas de compte sur l'un de ces services, mais que vous voulez chiffrer le contenu, il vous suffit de défnir un mot de passe, que vous vous communiquez par un "side-channel", à savoir un moyen de communication tiers (sms, appel vocal, email sur d'autres adresses, etc).

Notez au passage qu'actuellement, il semblerait que seul Tutanota permet à votre correspondant "externe" au système de vous répondre de manière sécurisée, bien que Protonmail soit sur le point de fournir une mise à jour allant aussi dans ce sens.

Les solutions pour communiquer de manière sécurisée existent. Il tient à vous de vous renseigner et de les promouvoir ;). Parlez-en autour de vous, et ne comptez pas sur ZIP, RAR ou PDF pour protéger vos contenus.

Parce que oui, manifestement, n'importe qui a quelque chose à cacher. Même une traductrice indépendante. Il n'y a donc pas besoin d'être un perdoterroriste tueur de chatons pour avoir besoin de protéger ses données.

À bon entendeur, salut !

More »»

Non, il ne faut pas plus de surveillance.

Par SwissTengu @SwissTengu @SwissTengu — 2015-11-20T14:47:16
"Laissez les services de renseignement faire leur travail", "Donnez plus de moyens pour la surveillance", "La Gauche se fiche de la sécurité avec leur référendum" etc, etc.

On en étale partout, en long, en large, en travers. On le crie, le hurle ou le beugle. Les partisans de la surveillance à tout va et à tous prix s'en donnent à cœur joie depuis quelques jours, depuis le vendredi 13 novembre, enfin, le samedi 14…

Seulement, on oublie l'essentiel : les services de renseignement de tous poils ont déjà trop de données. Ou alors ne savent pas exploiter correctement celles qu'ils ont déjà, légalement (ou peu s'en faut), collecté sur les réseaux et autres.

Comment expliquer sinon que, lors des derniers attentats (et pas que ceux du 13, mais encore les précédents, et encore ceux d'avant, et ainsi de suite), comment expliquer donc que tout ou partie, voire majorité des personnes impliquées soient toujours "connues des services" ?

Les renseignements sont là, existent, mais ne sont pas exploités. Par manque de moyens certes, mais pas des moyens de collecte, non, des moyens d'analyse. Des moyens humains aussi, pour, en cas de gros doute bien raisonnable, mettre une personne physiquement sous surveillance, ou se taper l'administratif ayant pour but d'obtenir une mise sur écoute ciblée.

Les renseignements sont là, mais dorment. Par manque de moyens techniques pour assurer une exploitation, ainsi que la création des recoupements nécessaires.

Mais cela, nos beugleurs, ils l'oublient. Pour eux, c'est une question de quantité, pas de qualité. Une différence de plus en plus oubliée car, dans notre société de consommation, on consomme. Toujours plus. Toujours plus gros. Mais sans prêter attention à la qualité.

Pour preuve j'en veux les quelques centaines de perquisitions administratives en France de ces derniers jours, donnant lieux à des arrestations, découvertes d'armes, etc. Autant de choses qui auraient sans doute pu avoir lieu, si on avait donné les moyens humains aux différents secteurs concernés : plus d'analystes, plus d'hommes sur le terrain, plus de juges.

Mais pas plus de données : elles sont déjà là, présentes, et collectées.

On veut changer la LSCPT, on veut créer une LRens. Soit. Oui, il faut un cadre légal. Il faut que tout soit transparent, que les citoyens comprennent comment ça marche. C'est important. Mais ces lois, au lieu de donner plus de moyens de collecte, devraient surtout se concentrer sur les synergies et relations possibles au sein des données existantes.

Quoi qu'en disent certains, une augmentation des moyens de surveillance créera obligatoirement une diminution de notre sphère privée. Soit technique, soit morale. Si on se sait surveillé, on n'agit, on ne pense plus pareil. On se plie plus volontiers pour rentrer dans le petit cadre dans lequel on voudrait nous voir.
La surveillance, même passive, influe sur les comportements.

La surveillance n'apportera pas plus de sécurité. Elle n'apportera tout au plus qu'un sentiment, faux, de sécurité, à celles et ceux qui y croient. C'est un peu comme les caméra de vidéosurveillance, renommée parfois "vidéoprotection" : elles sont là, passives, leur œil froid braqué dans une direction ou l'autre, captant tout. Mais ce n'est ni elle, ni la personne derrière l'écran de contrôle (quand il y en a) qui viendra vous protéger contre le pickpocket, ou l'autre sagouin qui vous arrachera votre sac à main. Tout au plus cela pourra servir de preuve, ou au moins de témoin. Et encore. Même pas sûr.

La surveillance telle qu'imaginée par nos élus, dirigeants et gouvernements, n'apportera pas plus de sécurité, non. Mais plus de contrôle sur le bon peuple protégé. Le "bon suisse" étant, de réputation, passablement porté à la délation, on peut de suite imaginer ce qu'un renforcement de la surveillance pourra amener. Parce qu'un tel renforcement passera, obligatoirement, par une diminution de nos droits à la vie privée. Et certains comportements intrusifs jusque là punis ne le seront plus. Ou moins.

Vouloir, dans le but d'augmenter la sécurité, augmenter la surveillance, tout en argumentant que c'est pour "protéger nos libertés", est un mensonges. Surtout quand on parle de notre "liberté d'agir, de penser". Agissez-vous pareil dans la même situation s'il y a une caméra que s'il n'y en n'a pas ? Bien sûr que non. Même infimes, des modifications de comportement sont là. On fera plus attention à son apparence, on regardera à un endroit neutre plutôt qu'un autre, on marchera droit, plus lentement, ou plus vite, bref. Notre comportement change.
Est-ce cela la liberté qu'on veut nous vendre avec la LRens et la modification de la LSCPT ? Une liberté d'être surveillé, une liberté de voir nos comportements changer de manière inconsciente ?

Pour ma part, une telle liberté, je n'en veux pas.
Pour ma part, j'ai nettement moins peur de me ramasser un groupe de terroriste sur mon lieu de détente que de voir un gouvernement partir en vrille avec des moyens de surveillances quasiment illimités.
Pour ma part, je prends la liberté de dire NON à la LRens et à la modification de la LSCPT.
Pour ma part, je prends la liberté de choisir ma vie, mon comportement, mon mode de pensée.

Pour toutes ces raisons, nous devons, coûte que coûte, refuser les modifications de la LSCPT, et débouter la LRens. Pour conserver nos libertés. Pour conserver notre mode de vie. Pour rester nous-même, des citoyens libres dans une démocratie libre.

More »»

Swiss ISP security lookup

Par noskill @_noskill @_noskill — 2015-12-29T23:14:12
Switzerland is a small country
  • Intro
    • Few ISP (monopole kind of thing)
    • Bad security on only one ISP -> large chunk of victims.
    • (image of chunk)
  • Material
    • Swisscom's media center thingie. (to test)
      • Getting to know each other
        • Photos of the inside of the beast
        • Look for debug ports
        • OS/RTOS ?
        • Bootloader ?
        • Firmware ?
        • Update policy ?
        • Get a shell ?

More »»

Catégories en relation

IMSI-Catcher, quoi de mieux qu'un exemple ?

Par SwissTengu @SwissTengu @SwissTengu — 2016-04-05T08:06:03
Nos élus veulent de la surveillance. Ils veulent, pour notre sécurité, autoriser l'usage de chaluts pour collecter des données. Entre les Govware et les IMSI-Catcher, notre sphère privée s'amenuise comme peau de chagrin. Certains poussent même pour clore le débat démocratique et passer en mode "Alerte Généraaaaaale"1 et appliquer des lois soumises au vote populaire par référendum via des lois d'urgence2

Mais il convient de s'assurer que nos élus, si friands de ces technologies, comprennent réellement de quoi on parle.
Après tout, rien ne nous dit et encore moins nous prouve qu'ils savent de quoi ils parlent, en-dehors des rapports glissés sous une porte et lu en diagonale cinq minutes avant les débats. C'est le problème de la politique de milice : des non-spécialistes tentent de parler de sujets spéciaux, demandant une compréhension assez vaste.

Du coup, EthACK a une proposition : 
De manière à bien expliquer et montrer comment un IMSI-Catcher fonctionne, nous voudrions faire une démonstration live d'un appareil approchant. Évidemment, nous n'avons (et n'aurons) pas les moyens d'acheter un vrai IMSI-Catcher (sans parler de l'utilité par la suite), mais il y a moyen, pour une somme "modeste", de faire un appareil de démonstration assez proche de la réalité3.

De manière à pouvoir faire cela, nous sommes donc à la recherche des éléments suivants :
  • Juriste(s) pouvant nous aider à mettre sur pied un événement de telle sorte à ce qu'on ne finisse pas à l'ombre, et que le matériel ne se fasse pas confisqué
  • Fonds pour acheter le matériel requis4
  • Aide pour l'organisation (stand, flyers, etc)
  • Des soutiens politiques et associatifs
  • Des volontaires pour l'écoute de leurs appareils dans le cas où l'écoute "débridée" serait trop compliquée à faire passer

Nous avons déjà créé deux campagnes de levées de fond5, ainsi qu'une adresse bitcoin dédiée6.

Au niveau juridique, il y a beaucoup de questions ouvertes : qui avertir, comment présenter la chose, comment publier les résultats (en live donc, aucune donnée ne sera enregistrée), etc. La démonstration elle-même est "simple" et intéressante, mais nous ne bénéficions pas de la couverture juridique telle que fournie par un document émis par un juge dans le cadre d'une enquête pénale.

Niveau finance, tout surplus sera investit dans la mise en place de l'événement, ainsi que pour la partie "juridique" au besoin.

EthACK conservera les appareils (dans la mesure du possible) de manière à pouvoir procéder à des démonstrations ultérieures, ainsi qu'à des possibles développements.

Dans l'idéal, la démonstration principale devrait se faire dans un lieu public, fréquenté et connu, voire symbolique — mais cela dépendra des retours au niveau juridique (on nous parle déjà d'AVC — faut-il s'attendre à une pénurie dans la branche ?), ainsi que des soutiens (politiques et associatifs) que nous pourrons trouver. Dans tous les cas, on fera quelque chose avec du monde, et du bruit. Même dans un coin perdu.

Dans l'esprit "démonstration", les connexions (préalablement anonymisées) seront affichées en grand, avec quelques démonstrations sur des appareils ciblés (en notre possession) par rapport aux contenus qu'un tel appareil peut récupérer.
Au vu des logiciels impliqués, on pourra aussi se passer des données des passants et spectateurs pour ne se concentrer que sur les appareils des organisateurs et volontaires. Mais ce sera potentiellement moins frappant.

Cela devrait donner un coup de pouce pour le référendum contre la LSCPT7.

More »»

Fausse bonne idée: un identifiant unique pour le Big Data

Par pdehaye @podehaye @podehaye — 2016-06-22T20:06:58
La nouvelle régulation européenne sur la protection des données prendra effet en mai 2018. On peut s'attendre à ce que la loi suisse correspondante, la Loi fédérale de 19921, soit aussi mise à jour et suive une trajectoire semblable.

Cette nouvelle régulation européenne renforce des droits existants et en introduit de nouveaux. Par exemple, elle permettra à tout un chacun d'accéder à ces données  (droit renforcé) dans un format interopérable (droit nouveau). L'espoir est d'éviter des phénomènes de "lock-in" et de permettre au consommateur de prendre ses données dans un service et de les amener ailleurs. L'effort est louable, et introduit énormément de complexité pour les entreprises. Comment celles-ci peuvent-elles s'assurer que l'individu demandant l'accès à ses données est bien celui ou celle qu'il dit être? Comment éviter des situations où un mari demanderait, en vue de l'épier, les données de navigation de sa femme basé sur une adresse MAC par exemple? La situation actuelle requiert d'associer à toute demande des papiers d'identité, et prévoit l'illégalité de la demande au nom de quelqu'un d'autre, mais les sociétés sont quand même frileuses: d'abord ces données sont souvent leur véritable fonds de commerce, ensuite toute communication par erreur de données à la mauvaise personne les exposerait à de gros risques. 

C'est dans ce contexte qu'aura lieu à Bruxelles la semaine prochaine un workshop, intitulé Unique Identifier for Personal Data Usage Control in Big Data2. Le titre est clair: le but de ce workshop est de définir un standard pour un identifiant unique et global pour l'ensemble des contextes "Big Data". Le même identifiant vous servirait sur Facebook, la SNCF (partenaire) ou votre caisse de santé (AOK Krankenkasse est un autre partenaire). Sans aucun doute, cela simplifierait la vie des sociétés qui cherchent à respecter la loi, substituant à votre passeport papier votre passeport numérique, sous la forme d'un identifiant unique. 

Les détails disponibles sont encore assez limités, mais on peut vite voir dans le Concept3 que l'approche est en elle-même problématique. Un identifiant unique dans tous ces contextes différents (réseaux sociaux, transports, assurances) enlève une multitude de barrières techniques à des usages qui ne sont pas encore complètement régulés. Ce workshop propose de résoudre le problème technique du respect de la loi d'une manière simpliste, et d'ignorer cette foule de risques qu'un identifiant unique introduirait. En fait, la partie la plus cruciale du concept se retrouve reléguée comme note de bas de page:

The proposers argue therefore for the creation of an open forum composed of individuals, companies, lawyers, academics, journalists, and health practitioners, international, governmental and non-governmental organizations, to continue after the CEN Workshop ends. They would share their best practices and how these practices can evolve according to the different dimensions of their activities and the contexts. The objective of such forum (with a broader scope than a CEN Workshop) would thus be to combine the respect of fundamental human rights with the integration of the dynamism of situations and contexts, sharing dynamic go-ahead usages and fostering a positive momentum.


En gros: ne nous embêtez pas, laissez-nous faire du commerce d'abord, après on vous parque dans ce "forum" comme ça vous pourrez travailler sur les "bêtises" qu'on a faites. 

Quelles bêtises exactement? 
  • comme dit précédemment, un identifiant unique enlèverait les barrières techniques au partage de données entre sociétés, ce qui n'est pas forcément un désir de tous les consommateurs et est certainement un résultat distinct du simple respect de la loi;
  • un identifiant unique forcerait les consommateurs à perdre le peu de contrôle qu'ils ont sur leurs données (sécurité par obscurité et/ou compartimentalisation des profils);
  • cet identifiant unique pourrait être volé et mener encore plus facilement au vol d'identité;
  • cet identifiant ne vieillira pas correctement avec la personne: pour les jeunes enfants, le droits d'accès peut être exercé par les parents, mais bien avant l'âge de majorité ce droit échoit en fait à l'adolescent même, dont la personnalité doit aussi être protégée des parents. Les parents devraient donc connaître cet identifiant tôt dans la vie de l'enfant, et l'"oublier" plus tard;
  • cet identifiant ne résout pas les problèmes associés à l'exercice du droit d'accès lorsqu'une société n'a pas d'informations très "riches" sur un individu (par exemple, des sociétés de pub en ligne, pour lesquelles le droit d'accès s'exercerait via le contenu d'un cookie). En fait il encourage les sociétés à collecter plus de données, ce qui mène à plus de problèmes;
  • pour accéder au contenu détenu par une société, cet identifiant demanderait de communiquer un passepartout pour la vie digitale de l'individu, valable sur un ensemble de sites/sociétés.

(beaucoup de ces critiques sont semblables à celle émises par le préposé fédéral à la protection des données sur l'utilisation du numéro AVS dans les services fiscaux4)

A en juger par l'agenda, ce workshop aura très peu de représentants de la société civile présents. J'espère y participer à distance, et formuler un maximum de ces critiques tôt dans le processus de standardisation. 

Paul-Olivier Dehaye
PS: L'auteur est aussi le fondateur de PersonalData.IO5, un service dédié à l'exercice facile de son droit d'accès aux données personnelles, sans en compromettre la sécurité. 

More »»

LRens : tirons les leçons de l'Allemagne

Par SwissTengu @SwissTengu @SwissTengu — 2016-09-17T15:08:57
Les suisses vont voter le week-end prochain. Parmi les différents objets, la Loi sur le Renseignement, aka #LRens1.

Dans le but de doter le SRC de moyens d'interceptions et d'investigations poussés, la loi introduit diverses possiblités jusqu'à maintenant hors de portée :
  • utilisation des IMSI-Catchers2
  • utilisation de chevaux de Troie3
  • exploration du réseau câblé4
  • et d'autres choses tout autant joyeuses.
La loi prévoit des garde-fous, ce qui est louable, mais sont-ils suffisants ?

La nouvelle loi prévoit que les communications "helvético-suisses" ne seront pas écoutées comme le sont celles "entrantes et sortantes" du pays. Cette exception ne sert à rien : une communication entre Lausanne et Zürich peut fort bien passer par la France et l'Allemagne, au gré des routes sur Internet. Du coup elle sera interceptée sans aucune demande d'autorisation spécifique.
De plus, le fait de soumettre les filtres/mots-clefs à une procédure de validation ne protège en rien les abus : l'exemple allemand5 est très parlant à ce sujet. La variante suisse de la loi sur le renseignement n'est pas sans rappeler la version allemande, et il serait de bon ton de voir ce qui s'est passé chez nos voisins avant de foncer tête baissée.
Rien n'empêchera non plus que les fameux "GovWare" se retrouvent dans la nature — l'infomatique de la Confédération démontre chaque année (si ce n'est chaque mois) les manifiques compétences de notre pays en la matière…

Il va sans dire qu'il sera intéressant, dans le cas où cette loi est acceptée6, de surveiller QUI fournira les outils de surveillance à notre service de renseignements. Sans doute des sociétés étrangères, comme c'est déjà le cas pour Fedpol7

Des précédents

Il ne faut pas oublier que le SRC, et les services de renseignement suisse, ont une histoire quelque peu trouble :
  • le "scandale des fiches"8 dans les années 1980
  • (au moins) un vol de données directement au sein du SRC9
  • (au moins) un employé a eu un comportement "indélicat" avec un média suisse10
  • … et combien d'autres choses qui ne sont pas sorties au grand jour ?
Les questions légitimes

Au vu de tout cela, quelques questions se posent :
  • avons-nous suffisament confiance dans notre gouvernement et les services de renseignement pour leur laisser ces "joujoux" en libre accès ?
  • avons-nous réellement besoin de ces nouvelles mesures ?
  • est-ce que notre droit à la vie privée ne risque vraiment rien face à ces nouvelles mesures ?
  • est-ce qu'on peut réellement se dire "le GovWare est en sécurité dans les infrastructures de la Confédération", surtout si l'on reprend le cas RUAG11, censé "être au top" ?
Toutes ces questions doivent trouver une réponse positive avant de pouvoir voter "oui" le 25 septembre. Une fois cette loi et ses mesures acceptées, il sera beaucoup plus difficile de revenir en arrière.

Notons au passage que l'OFCOM s'est bien gardé de publier les ID des cellules GSM/3G/4G12… Et ce dès le début de la publication de l'emplacement de ces mêmes cellules, empêchant ainsi les citoyens de s'assurer que les antennes employées par leurs appareils sont bien des antennes officielles. Avant même la mise en application de la LRens. De quoi se poser quelques questions sur ce sujet précis, et l'utilisation des IMSI-Catchers dans la Suisse de manière générale.

Ah, et, pour celles et ceux qui vont répondre "bah je n'ai rien à cacher, moi", je vous invite à lire cet excellent billet du non moins excellent François Charlet : https://francoischarlet.ch/2016/rien-a-cacher/

Bonnes lectures, et votez avec sagesse, pas sous le coup de l'émotion.

More »»

LRens : et après ?

Par SwissTengu @SwissTengu @SwissTengu — 2016-09-25T20:05:36
Le peuple a voté : 65.5% des votants a accepté la nouvelle Loi sur le renseignement. Adieu, sphère privée, donc. On va pouvoir remercier les Médias suisses (publics, privés) pour ne pas avoir abordé les éléments suivants lors de la campagne :

Bref. On est dans la mouise, aussi à poil que les citoyens américains ou français. Suite à ce vote, les citoyens ont deux possibilités : faire une totale confiance au SRC et aux commissions de surveillance2, ou se défendre bec et ongle pour protéger leur sphère privée et celles de leurs proches3.

Il est évident que EthACK, de par ses origines, est pour la défence (voire l'attaque). Nous avons jusqu'à septembre 2017 pour fourbir notre arsenal numérique et protéger au mieux nos systèmes, qu'ils soient privés ou d'entreprise.

La loi sur le renseignement permet pas mal de choses, certes. Elle peut même être assimilée au Patriot Act4 américain, vu qu'elle obligera les entreprises basées en Suisse à fournir des données au SRC. Elle permet aussi aux membres du SRC d'écouter toutes les connexions du pays5, voire de compromettre des systèmes informatiques nationaux6 ou étrangers7.
Mais nous ne sommes pas sans défense, heureusement. De plus en plus de services offrent différentes choses, auquelles il faut réellement commencer à prêter une attention particulière si ont veut que nos conversations privées restent privées :

Connexion chiffrée
À ce niveau, pas de miracle : les services ne fournissant pas de connexion sécurisée (http, smtp, imap, pop3) sont à proscrire. Seules les connexions chiffrées (httpS, smtpS, imapS, pop3S) sont à employer. Si les fournisseurs de services que vous employez ne mettent pas ces protocoles chiffrés à disposition, il serait bon de les contacter pour les inciter à le faire le plus rapidement possible.

Chiffrement côté client
Cela concerne principalement les "services clouds", dans le sens (erroné) "stockage en ligne". Il convient de s'assurer que les clients pour desktop, mobile, tablet ou autres chiffrent les données sur l'appareil avant d'envoyer quoi que ce soit. Dans un second temps, il faut absolument s'assurer que vous et vous seuls êtes en possession de la clef de déchiffrement. Sinon, ça ne sert à rien, vos données sont à poil chez le fournisseur de service.

Multi-factor authentication
Dans la mesure du possible, pensez à activer le MFA8 sur les services que vous employez. C'est une protection supplémentaire qui évitera les problèmes le jour où le service sera compromis, que ce soit par des hackers doués ou des hackers ayant mis la main sur les divers achats du SRC suite à une fuite de données à ce niveau…

Localisation des services
Avec la LRens, l'emplacement des serveurs ainsi que des sociétés les exploitant est moins important. Les USA sont évidemment à éviter à cause de leurs multiples lois (Patriot Act, FISA9, etc), mais il devient moins évident que la Suisse soit mieux : le SRC peut obliger n'importe quel fournisseur de service à donner des informations. D'ici que des sociétés comme Threema10 soit dans le colimateur du SRC, il ne faudra pas long.

Conditions générales et autres documents
Comme toujours, il faut lire les conditions générales d'utilisations de même que la politique de confidentialité (privacy policy) avant de souscrire à un service. Oui, ces textes sont longs. Oui, ils sont souvent en anglais. Oui, ils sont très barbants à lire. Mais faites-le !

Aussi, assurez-vous que vous employez un mot de passe différent pour chaque service ou que, s'il s'agit d'une dérivation d'un mot de passe principal, cette dérivation ne soit pas simple à trouver.

Au niveau de EthACK, nous allons tâcher de fournir des tutoriaux, et de sortir un nouveau cycle de conférences pour expliquer les tenants et aboutissants de cette loi. 

Dans l'intervalle, il vous faudra vous renseigner et déjà consolider l'existant. Faites déjà le tri, et profitez pour modifier vos mots de passe et vous assurer que chaque service en utilise un différent.

Stay safe.

T.
  • 1Nos élus ne savent pour la plupart pas comment fonctionne Internet ou les smartphones, sans parler même des réseaux sous-jacent
  • 2Bah, à priori, 65.5% des votants semblent vouloir à tous prix y croire, tout comme croire que cette nouvelle loi va réellement nous protéger contre des menaces qui, jusqu'à maintenant, on fait une quantité incalculable de morts : 0
  • 3Ne soyons pas égoïstes — et n'oublions pas que la plus solide des chaînes ne dépend que de son maillon le plus faible…
  • 4https://fr.wikipedia.org/wiki/USA_PATRIOT_Act
  • 5Ne nous voilons pas la face, la présence des sondes au cœur du réseau pour les connexions "externes" vont aussi écouter ce qu'il se passe ailleurs : rien que la RTS passe par Akamai, du coup les visites effectuées sortent du pays. Et combien de vos contacts utilisent GMail ? ;)
  • 6Article 26
  • 7Article 37
  • 8https://en.wikipedia.org/wiki/Multi-factor_authentication
  • 9https://fr.wikipedia.org/wiki/Foreign_Intelligence_Surveillance_Act
  • 10N'oublions pas que le code source de l'application n'est pas disponible…

More »»

Conférence "Bonnes pratiques à l'ère du numérique"

Par SwissTengu @SwissTengu @SwissTengu — 2016-10-13T17:20:02
EthACK a donné mercredi 12 octobre une conférence sur les bonnes pratiques à l'ère du numérique. Elle s'est déroulée à l'EPS d'Écublens, en présence d'une cinquantaine de personnes.

Le but était de sensibiliser le personnel enseignant sur les problématiques du numérique, sous l'angle "protection des données et sécurité". La durée prévue était d'environ 90 minutes, laissant ainsi largement de temps aux auditeurs et auditrices pour poser leurs questions, nombreuses, et faire part de leurs inquiétudes quant au fait qu'il n'est, au final, pas possible de réellement maîtriser ce qui transite sur les réseaux.

La conférence s'est déroulée en deux parties, une première faisant un rapide état des lieux au niveau des utilisations et menaces potentielles1, puis une seconde présentant les règles de bases pour une "hygiène numérique".

Diverses discussions quant à la pertinence ou non d'utiliser des applications mobiles pour communiquer avec les élèves ont été menées durant les deux périodes de questions. EthACK a aussi pu relever un problème intéressant auquel sont confrontés tous les membres du personnel enseignant : l'utilisation d'appareils privés dans le cadre professionnel.
Si cela peut sembler une bonne idée, cette pratique, courante et pas limitée au cadre scolaire, pose beaucoup de problèmes, parmi lesquels:
  • impossibilité de "débrancher" du travail
  • risques de perte/vol de données personnelles à caractère privées dans le cadre du travail
  • risques de perte/vol de données professionnelles dans le cadre privé

D'autres sujets, tels que les réseaux sociaux, ont été abordés. Il en est ressorti que peu de personnes présentes avaient un compte Facebook ou assimilé, et le peu qui en avait un n'était pas "ami" avec leurs élèves, ce qui est un bon point : là aussi, être "ami" avec des élèves peut poser des problèmes, tels que la neutralité/impartialité, le transfert bidirectionnel de données personnelles, les possibles implications personnelles/émotionnelles que cela peut créer.

Des questions plus précises, tel que la gestion des mots de passes2, ainsi que le rôle des enseignants dans l'éducation numérique des élèves.

Les slides employées pour cette présentation sont disponibles3.

Si vous aussi voulez organiser une conférence/présentation sur ce genre de sujets, que ce soit au sein de votre école, de votre entreprise ou même de votre association, n'hésitez pas à nous contacter.

Pour EthACK,
SwissTengu

More »»

Marc Elsberg : un auteur à suivre

Par SwissTengu @SwissTengu @SwissTengu — 2016-10-19T14:08:27
Nous avons découvert il y a peu Marc Elsberg1, un auteur allemand. Son premier livre, Black-out, nous plonge dans une Europe où le réseau électrique s'effondre, à cause du manque de conscience des fournisseurs de solutions "smart grid"2 au niveau de la sécurité et des risques.

Ce premier livre, bien que présenté comme une fiction, met le doigt sur pas mal de problèmes qui, effectivement, existent. La pertinence technique, tout en usant de quelques simplifications (lire la postface), permet de se faire une idée très claire des problèmes posés par l'Internet des objets3 (en s'intéressant particulièrement aux grosses infrastructures et à leur gestion via des logiciels dédiés).

Le lire et le recommander permettra de vous confronter, ainsi que vos proches, à des réalités qui sont souvent méconnues4. Il est très intéressant de lire la postface du livre, l'auteur y décrivant les étapes d'écriture ainsi que les événements survenus pendant ou juste après l'édition. On se rappel de Stuxnet5, par exemple, qui avait fait les gros titres par son ciblage précis de certaines infrastructures sensibles.

Plus récemment, mais sans rapport direct avec la gestion d'infrastructures critiques, on peut se rappeler du DDoS6 ayant eu pour origine plusieurs dizaines de millier de caméras connectées…

Encore en 2016, trop d'objets connectés manquent de sécurité. Même nos routeurs, passerelles Internet fournies par nos fournisseurs de services, sont vulnérables à de multiples niveaux7 !

Le second livre de Marc Elsberg, Zero, nous plonge dans un monde légèrement plus avancé que maintenant, mais au final pas tant que ça. Les technologies décrites dans ce second livre existent et sont mises en applications, seuls certains points techniques sont une anticipation à court terme de ce qu'on va avoir.
Le monde décrit est ainsi : une société collecte, agrège et analyse les données personnelles des utilisateurs de ses applications (on a déjà cela, les exemples ne manquent pas). En contre-partie, les utilisateurs ont droit à deux services :
  • la gestion de la revente de leurs données personnelles (ce genre de plate-forme existe déjà)
  • des applications intégrées qui permettent d'améliorer son style de vie (là par contre, on n'y est pas encore tout à fait).

En parallèle de cela, un groupe de hacker, Zero (qui n'est pas une référence à Anonymous, eux-mêmes étant cités dans le livre, de même que Lulzsec et d'autres) veut démontrer que la surveillance généralisée ne sert à rien, et que le traitement des données personnelles est déséquilibré.

Là aussi, l'auteur s'est renseigné, documenté. Il expose les problèmes liés aux données personnelles dans un monde de plus en plus connecté. Il évalue les différents points de vue en tentant d'apporter des arguments nuancés et circonstanciés.

La lecture de ce livre peut, là encore, éveiller l'intérêt et permettre une prise de conscience de l'état de notre sphère privée.

De manière générale, nous sommes heureux de voir ce genre de livres sortir et, surtout, rencontrer un certain succès (Black-out a été très bien vendu, et peut même être intégré dans le cursus scolaire allemand). Zero est bien parti pour rencontrer le même succès.

Bonnes lectures !

More »»