About physical security

Today, an organization’s nformation system goes beyond the company itself. Backup servers are located abroad, all employees not working in the same building and some of them are in other countries or other cities, working in home office …

Continuer la lecture de « About physical security »

Apple : pourquoi l’absence de virus sur Mac est une légende urbaine

INTERVIEW / ÉCLAIRAGE

La découverte du logiciel malveillant KeRanger sur OS X rappelle que les produits Apple sont également vulnérables.

Continuer la lecture de « Apple : pourquoi l’absence de virus sur Mac est une légende urbaine »

Ne laissez pas Google chiffrer vos mails

sauf que les techniques de chiffrement sont déjà bien anciennes. PGP, par exemple, date de 1991.

La première question qu’il faudrait donc se poser c’est « pourquoi seulement aujourd’hui ? » Un an après les premières révélations d’Edward Snowden, Google essaie plutôt de coller à/créer une mode « oui, je suis sur Gmail et je chiffre mes courriels ».

A savoir, vous pouvez déjà chiffrer vos mails en étant sur Gmail, comme des grands, avec GPG sans que personne d’autre n’y mette la main dedans…

Google va chiffrer les emails,
Viva Google !
C’est la révoution !
bla, bla, bla… L’info est tombée la semaine dernière et tout le monde s’extasie en pensant que Google permettre de chiffrer ses mails.

sauf que…

Continuer la lecture de « Ne laissez pas Google chiffrer vos mails »

Bobo la privacy

Quelques lectures à partager… Ca va très très mal sur le plan de la vie privée.

Deux étudiants de Standford ont mis en lumière le caractère particulièrement sensible des métadonnées téléphoniques. Sans jamais espionner les appels téléphoniques, ils ont montré qu’il est possible d’aller très loin dans la vie des gens, jusqu’à connaître leur état de santé ou savoir s’ils possèdent des armes à feu. Lire la suite sur Numérama.

DeepFace serait capable de reconnaître un visage aussi bien qu’un être humain. Il affiche un taux de réussite de 97,25% ! Lire la suite sur BeGeek.

Continuer la lecture de « Bobo la privacy »

Tes messages sur WhatsApp n’ont jamais été confidentiels

Au secours, c’est la fin du monde ! La clé de chiffrement de l’appli WatsApp a été révélée ! Le monde se réveille apeuré, piraté, outré, sauf que… Sauf que mon grand, tes messages sur WhatsApp n’ont jamais été confidentiels.

Au secours, c’est la fin du monde ! La clé de chiffrement de l’appli WatsApp a été révélée ! Le monde se réveille apeuré, piraté, outré, sauf que… Sauf que mon grand, tes messages sur WhatsApp n’ont jamais été confidentiels.

Première contre-vérité, ce chiffrement était soi-disant sécurisé

La « sécurité » de cette application était basée sur du chiffrement symétrique, c’est à dire qu’on utilise la même clé pour chiffrer et déchiffrer le message,

Capture du 2014-03-21 10:56:50

Continuer la lecture de « Tes messages sur WhatsApp n’ont jamais été confidentiels »

utiliser Tor ne remplace pas les habitudes de sécurité

Un des risques les plus important est le risque lié aux nœuds de sortie. En effet cet élément, bien qu’essentiel au fonctionnement du réseau, met le propriétaire de celui-ci dans une situation privilégiée pour observer ce qui transite sur le réseau, Tor ne garantissant plus le chiffrage des données à ce point. Cette personne ne pourra pas voir où vous êtes mais verra tout ce que vous faite et pourrait l’utiliser à mauvais escient. Des « attaques » de ce genre se sont déjà pratiquées et d’autres sont certainement en cours en ce moment.

Si vous tenez à votre vie privée sur internet, vous avez certainement entendu parler de Tor et c’est à priori une bonne solution. Cependant avant de l’utiliser il faut bien en comprendre le fonctionnement et les risques associés. Ce billet est écrit par Aegirs, un gars qui a commencé à se mettre au libre il y a bientôt une dizaine d’année (déjà ?! ^^’) et qui s’intéresse entre autre à l’auto-hébergement.

 

Capture du 2013-11-17 13:33:00

Continuer la lecture de « utiliser Tor ne remplace pas les habitudes de sécurité »

Orbot, retour d’utilisation

De passage en Jordanie (oui, j’ai mis du temps à écrire ce billet) j’ai testé Orbot. Orbot c’est quoi donc ? C’est l’équivalent de Tor, dont on a déjà parlé ici, mais sur smartphone.

Orbot sert à préserver votre anonymat en ligne qu’il s’agisse de surfer sur le Ouaibe ou d’autres utilisations d’Internet. Il fournit l’accès au réseau Tor aux utilisateurs de smartphones Androïd.

Autre avantage pour une utilisation grand public, il permet de choisir de manière assez user friendly, en quelques clics, les applications dont le trafic passera par le réseau Tor : mails, navigation, tchat… ou alors de choisir de faire transiter les flux de la totalité de vos applications.

Capture du 2013-10-24 11:00:38

Un test bien basique pour savoir si votre connexion transite bien par le réseau Tor, celui de d’aller consulter les sites qui vous indiquent quelle est votre IP, du genre mon-ip.com, qui vous localisera quelquepart dans le monde mais sans doute pas là où vous vous trouvez.

Pour l’anonymat et vous permettre de vous connecter sans avoir à subir les restrictions du pays dans lequel vous vous trouvez physiquement, c’est une bonne chose, donc.

Cet outil a tout de même un problème, celui de tirer pas mal sur la batterie, donc plutôt limité en termes de mobilité. Impossible, par exemple, de le laisser tourner plusieurs heures d’affilée, sur une connexion « grand public » par exemple, via wifi dans le salon d’un hôtel, à moins d’avoir son chargeur et une prise à portée de main.

Moins grand public, en connexion 3G, ne surtout pas laisser tourner Orbot plusieurs heures sur votre machine ou au moment où vous aurez vraiment besoin de téléphoner, il ne vous restera plus de jus.

Eteindre Orbot ?

Oui mais…

Oui mais si vous rechargez vos mails coûte que coûte, en continu, votre application s’y connectera sans ce programme, et donc à quoi cela peut-il servir de le faire tourner épisodiquement ? Dans ce cas précis, il faut abandonner l’idée du chargement des mails en continu et s’astreindre, à chaque fois qu’on en a envie, à retaper son mot de passe.

A titre personnel, je suis plutôt opposée au chargement des emails sur mobile, et je m’en passe, mais dans certains pays, le smartphone est parfois le seul ordinateur qu’une personne possède, elle ne peut donc pas faire autrement.

Très bon retour, donc, sur Orbot, même si son utilisation doit s’accompagner d’autres mesures de sécurité dans le cadre d’un reportage, qu’il s’agisse de sécurité informatique ou de comportements personnels. Le seul souci majeur noté étant celui de la consommation d’énergie.

  • Les liens qui vont bien

télécharger Orbot sur tes dépots préférés
Les téléphones mobiles et la sécurité
Utilisez votre smartphone en sécurité

#GPG exporter/importer une clé

Qui dit changer d’OS dit importer sa/ses clé(s) GPG dans le tout nouveau tout beau. La manipulation est la même lors d’un changement d’ordinateur, bien entendu.

Qui dit changer d’OS dit importer sa/ses clé(s) GPG dans le tout nouveau tout beau. La manipulation est la même lors d’un changement d’ordinateur, bien entendu.

Une fois Thnderbird avec le plugin Enigmail qui va bien, on est fin prêt à ajouter sa clé dans la machine sauf que… comment on fait ?

Dans mon cas, c’était encore plus chiant intéressant puisque j’avais, pendant plus d’un an, planqué ma clé GPG dans une VM(EN). Cela me permettait le cas échéant sur un terrain chelou, de la crasher et par conséquent, de perdre volontairement clé, contacts, mails chiffrés pour protéger mes contacts. Alors oui, une VM, ça se retrouve, mais si elle est dans une partition chiffrée (qui elle-même se trouve dans une…), je me disais que ça donnerait un peu plus de boulot à qui voudrait accéder à mes sources.

Très bien, il suffit donc de copier la clé d’un côté et de l’importer de l’autre… Sauf que ma VM, premier problème, n’a aucune connexion avec les port USB de la machine. Je cherche donc du côté du réglage USB et là, au surprise, le seul port USB qui m’est proposé est inconnu au bataillon. J’ai beau tester tous les ports, même ceux de la table rafraîchissante, des fois que…

L’export

J’ai finalement trouvé le port « USB » reconnu par la VM était en fait l’entrée de la carte SD sur l’ordinateur. Une fois ce problème résolu, on peut finalement s’attaquer au transfert qui s’avère finalement très simple.

Capture du 2013-05-01 10_05_22

Dans OpenPGP, cliquer sur « gestion des clés », trouvez la clé qui vous intéresse et choisissez l’option « exporter des clés vers un fichier ». Dans ce cas précis, c’est bien entendu l’export de clé privée qui m’intéresse. Direction la clé USB, donc, dans mon cas la carte SD.

L’import

Arrivée sur le nouvel OS, Thunderbird en mode run, me voici de retour dans l’interface de gestion des clés. Là, il suffit de cliquer sur « importer des clés depuis un fichier » et de la choisir dans le dossier où on l’a stockée. La machine s’occupe du reste.

Capture du 2013-05-01 10_07_49

J’ai voulu m’amuser à remplacer ça part la clé publique pour voir ce que cela donnait, bien entendu, impossible d’envoyer un mail par la suite. Du coup, suppression et nouvel import bien propre de la clé privée.

Surtout, pensez à supprimer le fichier de votre clé USB et de la reformater !

Limites du transfert

A ce propos, une question se pose pourtant : celle du support qui a transporté cette clé privée d’un point A à un point B. Comment être sûre qu’après plusieurs reformatage de cette clé USB/carte SD/disque dur externe, on ne pourra pas accéder à ce que nous mettons à l’intérieur ? Et par conséquent, pouvoir déchiffrer nos mails ? Une protection supplémentaire peut doit être le chiffrement de votre support qui sera un frein supplémentaire à l’accès à vos données.

Changer de clé quand on change d’ordinateur ? En recréer une pour repartir sur du propre ? Cela pourrait éviter la faille de la récupération de la clé sur le support. Puisque GPG est aussi basé sur une chaîne de confiance, si votre clé a été signée à plusieurs reprises, si vos contacts l’ont, ce n’est pas vraiment une bonne idée, me dit-on. A lire dans le prochain et dernier billet de la série.

Menace sur nos libertés. Comment Internet nous espionne. Comment résister

Vous savez ce qu’est un cypherpunk ? vous avez suivi le combat de la Quadrature contre Acta ? Vous militez pour la neutralité du Net ? Vous savez au moins de quoi il s’agit ? vous vous intéressez à l’exportation d’armes de surveillance ? A la liberté de communication qu’entraÏne le chiffrement ? … Si vous avez répondu non, à toutes les questions, ce bouquin est fait pour vous, prenez-le comme un manuel d’apprentissage des libertés en ligne.

Vous savez ce qu’est un cypherpunk ? vous avez suivi le combat de la Quadrature contre Acta ? Vous militez pour la neutralité du Net ? Vous savez au moins de quoi il s’agit ? vous vous intéressez à l’exportation d’armes de surveillance ? A la liberté de communication qu’entraÏne le chiffrement ? … Si vous avez répondu non, à toutes les questions, ce bouquin est fait pour vous, prenez-le comme un manuel d’apprentissage des libertés en ligne. Le titre de ce billet est éponyme à celui du nouveau bouquin signé Julian Assange.

Hackers_PPirateAlsace

Ce livre est basé sur une discussion entre Assange, Appelbaum, Andy Müller et Jérémie Zimmermann qu’ils ont annotée. Les 36 pages de définitions, liens, rappels d’événements, lectures, constituent une première richesse pour approfondir le sujet.

Le bouquin s’adresse plutôt à des néophytes ou à des personnes qui commencent à s’intéresser à ces questions et ne savent pas trop où creuser.

Sur un ton parlé, donc, les quatre mousquetaires de l’Internet, reviennent sur ces dix dernières années et mettent en avant des valeurs que nous soutenons, telles que la neutralité du Net, l’importance du chiffrement, la décentralisation… et dressent un tableau un peu noir de quelques-uns, à l’instar de Visa et Mastercard qui, outre bloquer les transferts d’argent vers Wikileaks, sont accusés de participer à un système de surveillance. L’exemple avancé est tout à fait fou. Impossible de gérer les échanges bancaires internes à la Russie à l’intérieur même du pays. Aujourd’hui, le Russe dont le compte en banque se trouve dans une banque russe, qui va faire quelques courses à la supérette au bout de sa rue et paie avec une Visa ou une Mastercard, voit sa transaction effectuée via les USA.

De l’intérêt de l’apprentissage

Ils mettent l’accent sur le rapport entre compréhension des systèmes et liberté. L’utilisateur du clicodrome est dépendant de sa technologie, celui qui ouvre, démonte, essaie de comprendre, pourra mieux maîtriser la machine. Au-delà des logiciels libres, donc, les quatre compères militent pour un hardware libre que l’on pourrait dupliquer, améliorer et adapter à son usage. Mais cela demande une prise de conscience des gens et un apprentissage, peut-être long et fastidieux, mais qui en vaut la peine puisqu’il est question de libertés fondamentales.

Chose intéressante que soulève Andy Müller, l’interdiction, via l’Arrangement de Wassenaar, d’exporter des technologies de chiffrement vers des pas déclarés « mal intentionnés ». Par contre, l’export de technologie de surveillance, dont on connait les malheureux résultats, n’est pas soumis à règlementation. Le constat est surprenant pour un néophyte et le bouquin incite à s’interroger sur cette question.

Jérémie Zimmermann revient sur ACTA, bien entendu, mais aussi sur notre rapport un peu étrange à la vie privée. Aujourd’hui, il suffit de cliquer sur « publier » pour révéler en quelques secondes des informations personnelles sur Facebook. Et de rappeler qu’on remet ces données avant tout non pas à ses amis ou à ses proches, mais à Facebook qui les utilise, les partage, les vend, comme il le souhaite.

« Publier signifie rendre public, ça veut dire qu’on offre au reste du monde l’accès à cette donnée. »

Enfin, Jacob Appelbaum revient sur les nombreux problèmes rencontrés lorsqu’il voyage aux USA du fait d’avoir participé à la création de Tor mais aussi du fait de son amitié avec Julian Assange. Il décrit au passage le processus de sélection de futurs employés de l’US Navy via des jeux concours (CTF) organisés auprès d’étudiants du Security an Privacy Research Laboratory de l’université de Washington.

Si vous avez répondu oui à toutes les questions du premier paragraphe de ce billet, vous risquez d’apprendre quelques petites choses dans ce bouquin, comme celles décrites ici que j’ai appris au fil de la lecture sans encore avoir pris le temps de compulser la totalité des liens qu’on trouve en annexe. Mais clairement, toi qui a répondu oui, tu n’es pas le public visé par ce livre.

Seul bémol, la qualité de la traduction. On s’arrache les ongles à vouloir lire plus souvent « chiffrement » à la place de « cryptage » et surtout, le « espaces de hackers » pour « hackerspaces » fait un peu saigner des yeux.

Chez l’éditeur.

A lire aussi, cet article de Numérama nous informant que le FBI réclame un acces en temps réel à Skype, Facebook, gmail, etc…

Dans le bouquin, il est aussi question du Patriot Act qui donne tous le spouvoirs au FBI et à l’Etat américain de zyeuter sympathiquement vos communication. Google révèle les dernières demandes du FBI.