OPSEC et le langage écrit… ou la faille de sécurité entre la chaise et le clavier

Jug33keries, websurveillance
Facebooktwitterlinkedinmailby feather

J’ai lu, il y a quelques jours, un billet de TomChop qui m’a bien fait cogiter et reprend de manière très simple, certains des principaux risques en terme de sécurité informatique, entre sécu pure et social Engineering. Il m’a permis de le traduire et de vous le poster ici. Bonne lecture.

 J’ai récemment eu le plaisir de parcourir les diapositives d’une présentation de The Grugq(EN) appelé OPSEC pour les hackers(EN). Comme vous l’aurez deviné, le thème principal est la sécurité opérationnelle(EN). La sécurité opérationnelle, la sécurité des opérations, l’OPSEC… c’est tout sur les mesures qu’on prend pour s’assurer que ses actions (ou inactions) ne laissent pas fuiter certaines informations (utiles) à un adversaire éventuel. Certains l’appellent la paranoïa, d’autres l’appellent… OPSEC.

Dans tous les cas, la présentation passe par un grand nombre de détails expliquant pourquoi et comment de nombreux pirates et leur team se sont fait prendre. Il s’appuie sur des exemples tirés des dossiers du procès LulzSec et de ses procédures, et ce, d’une manière assez humoristique.

Ferme ta bouche

La présentation passe par un ensemble de 10 règles qui, si elles sont strictement suivies, devraient fournir un OPSEC assez bon (ou comme il le dit – à un combattant de la liberté) des bons plans pour « lutter pour leur liberté. » Je recommande la lecture de ces slides, car ils couvrent la plupart de ce qu’on pourrait penser – ou pas.

Ce qui m’a vraiment frappé est la manière dont l’accent est mis sur la façon dont la divulgation d’informations personnelles doit être évitée. Bien sûr, il serait stupide de donner votre nom ou votre emplacement sur un canal IRC sur lequel vous planifiez une belle pagaille. Mais l’auteur énumère quelques-unes des choses que je pense que la plupart des gens n’ont pas idée de protéger à l’instar de la météo « Putain, il pleut ici ! », ou de l’heure qu’il est « ok les gars, il se fait tard, je dois me lever tôt demain ». Bien entendu, on dit encore moins parler de la situation politique de son pays… Alors en ce qui concerne les loisirs, les activités professionnelles, etc… je te laisse deviner, lecteur.

On pourrait penser à ces choses comme des métadonnées à partir de conversations. Ce n’est pas facile à contrôler – il est difficile d’établir si les relations sur Internet peuvent être dignes de confiance sans dévoiler toutes sortes de renseignements personnels, exacts ou non. Par exemple, les diapos rappellent de ne pas se connecter à des heures régulières ou mettre en place certaines habitudes de connexion, telles que la connexion à l’IRC tous les jours de 17h à 19h. Cela m’a fait penser que les métadonnées pourraient être encore plus nombreuses qu’on ne le pense.

Le facteur encore moins contrôlable que le temps qu’il fait dehors et peur en révéler un peu plus sur vous, reste le langage.

Le langage, le metadonnée ultime

Travailler sur la langue est vraiment intéressant car cela implique beaucoup de travail à la fois conscient et inconscient de notre part. Je ne suis ni linguiste ni psychologue, mais j’ai un grand intérêt pour les langues. J’ai voyagé et vécu dans de nombreux endroits, et de saisir les différences parfois minimes entre les langues (Argentine, Uruguay, Espagne – Royaume-Uni, Etats-Unis – France, Canada) peut être cruciale pour comprendre la façon de penser d’un peuple et ce qui caractérise son identité culturelle. Je suis assez chanceux pour être capable d’écrire, de parler et lire en espagnol, français, et anglais, mais on notera toujours des différences entre un locuteur dont c’est la langue maternelle et un locuteur non natif du pays.

La plupart des conversations en ligne se tiennent en anglais. Grammaire, orthographe, vocabulaire, « faux amis », peuvent tous donner accès à votre langue maternelle. Les espagnols (hispanophones) et les italiens ont tendance à omettre le mot anglais « it », car il n’y a pas vraiment d’équivalent en espagnol ou en italien familier : « Yes, it’s very interesting » devient « Yes, is very interesting ». Les formules interrogatives ne sont pas inversées en français, en espagnol ou en italien, donc « How does it work ? » Devient « How it works ». D’après mon expérience, acquise lorsque je participais au programme Erasmus, j’ai réalisé que les Allemands ont tendance à utiliser des gérondifs quand ils devraient utiliser présents: « He drinks a lot » devient « He is drinking a lot ». Parfois, on peut tirer les mêmes constatations pour les francophones.

Les fautes d’orthographe peuvent également donner une idée de votre langue maternelle : des amis qui parlent français et espagnol ont tendance à doubler leur « s » dans les mots en espagnol – et il n’y a pas de double « s » en espagnol. D’autre part, j’ai constaté que lors de conversations en ligne avec des personnes de langue maternelle anglaise, qu’elles ont tendance à faire plus de fautes d’orthographe sur des mots homophones que des locuteurs non natifs. Par conséquent, « votre » et « vous » sont arbitrairement permutées.

Cette situation, je crois, se produit moins souvent lorsque l’anglais est la seconde langue des personnes avec qui on échange. Elles savent que les deux mots ont des significations très distinctes, Elles peuvent comparer ces mots à leur équivalent dans leur propre langue – qui sonnent généralement différemment. Quand vous apprenez l’anglais en seconde langue, vous ne savez généralement pas « you’re » avant de savoir « you » et « are », et sachant que « you’re » est une contraction des deux. C’est la même chose pour « there », « their », et « they’re »(EN).

Le vocabulaire est profondément liée à la personnalité, à la culture, à l’expérience. Les faux amis, deux mots qui partagent une même racine, et sont semblables, mais ont une signification totalement différente, sont particulièrement intéressants – en anglais « eventually » signifie que « ça va arriver, tôt ou tard, mais qui va se passer ». En français, « eventually » signifie que cela « peut arriver ou pas ».

En outre, notre vocabulaire n’est pas infini, et chaque individu utilise des mots spécifiques plus que d’autres. Le « vocabulaire focal« (EN) est un ensemble de termes spécifiques à un certain groupe d’individus qui partagent des facteurs communs – l’activité professionnelle, la culture, etc.

Quand vous parlez, vous donnez involontairement des informations au sujet de votre profession et de votre catégorie socio-culturelle. Mais si j’avais affaire à deux personnes différentes, que tous deux parlent de la même manière, et utilisé les mêmes mots, alors je commencerai certainement à penser que ces deux personnages peuvent être la même personne.

Un autre facteur qui joue un grand rôle dans les conversations en ligne sont votre clavier et vos habitudes typographiques. Certaines personnes écrivent en lettres minuscules, d’autres sont très attentifs aux signes de ponctuation. Si vous tapez sur un clavier français, vous touches sont configurés différemment « AZERTY » au lieu de « QWERTY ». Cela signifie que si vous oubliez votre « W », vous ne serez pas frapper «E» ou des chiffres, mais « X », « S », « Q », ou « < » et « > ». « QRE vous avez utilisé pour szitch betzeen lqyouts keyboqrd + » est AZERTY pour « Are you used to switch between keyboard layouts? ».

Certains claviers ont des caractères spécifiques: μ, £, et §. Pour une raison étrange, ces signes sont tous inclus dans la configuration du clavier français. Tapez sur l’une de ces touches et on saura que vous êtes probablement français. La typographie française impose un espaces avant les signes de ponctuation doubles : deux-points, point d’exclamation et point d’interrogation ! N’est-ce pas étrange ?

La langue est une chienne

Que vous parliez une langue bien ou pas, il y a toujours des indicateurs qui peuvent être utilisés pour établir votre profil ou ceux de vs différentes identités en ligne. L’idée est de KYMS : Keep Your Mouth Shut, est d’essayez de limiter votre vocabulaire aux mêmes mots. Réduisez le nombre de mots extravagants au minimum. Rappelez-vous que dire « “arsehole » (trou du cul) n’est pas la même chose que dire « asshole » (connard), Gardez à l’esprit que la première fois que vous dites « center », ce sera une faute de frappe. Seconde idée : limiter votre position au Royaume-Uni. Bien sûr, si vous pensez que votre niveau de langue est assez avancé, vous pouvez toujours essayer de tout mélanger ou utiliser un vocabulaire qui n’est pas le vôtre. Si vous êtes un expatrié, sachez que si la police est 100% sûre de votre nationalité et de votre lieu de résidence, il est en effet plus facile pour eux de vous suivre à l’étranger ( Est-il plus difficile de trouver un Russe au Mexique, ou un russe en Russie ?)

Rappelez-vous que même les gens expérimentés ont du mal à cacher leur véritable identité, et vous pourriez avoir du mal à maintenir une identité qui n’est pas la vôtre. Gardez cela à l’esprit lorsque vous discutez en ligne.

Lisez le texte Original chez Thomas.
Une petite lecture qu’il nous conseille pour compléter.

This post has already been read 2533 times!

twitterlinkedinby feather

1 commentaire sur “OPSEC et le langage écrit… ou la faille de sécurité entre la chaise et le clavier

  1. Ping : OPSEC et le langage écrit… ou la faille de sécurité entre la chaise et le clavier | digitalcuration | Scoop.it

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *