#GPG exporter/importer une clé

Qui dit changer d’OS dit importer sa/ses clé(s) GPG dans le tout nouveau tout beau. La manipulation est la même lors d’un changement d’ordinateur, bien entendu.

Qui dit changer d’OS dit importer sa/ses clé(s) GPG dans le tout nouveau tout beau. La manipulation est la même lors d’un changement d’ordinateur, bien entendu.

Une fois Thnderbird avec le plugin Enigmail qui va bien, on est fin prêt à ajouter sa clé dans la machine sauf que… comment on fait ?

Dans mon cas, c’était encore plus chiant intéressant puisque j’avais, pendant plus d’un an, planqué ma clé GPG dans une VM(EN). Cela me permettait le cas échéant sur un terrain chelou, de la crasher et par conséquent, de perdre volontairement clé, contacts, mails chiffrés pour protéger mes contacts. Alors oui, une VM, ça se retrouve, mais si elle est dans une partition chiffrée (qui elle-même se trouve dans une…), je me disais que ça donnerait un peu plus de boulot à qui voudrait accéder à mes sources.

Très bien, il suffit donc de copier la clé d’un côté et de l’importer de l’autre… Sauf que ma VM, premier problème, n’a aucune connexion avec les port USB de la machine. Je cherche donc du côté du réglage USB et là, au surprise, le seul port USB qui m’est proposé est inconnu au bataillon. J’ai beau tester tous les ports, même ceux de la table rafraîchissante, des fois que…

L’export

J’ai finalement trouvé le port « USB » reconnu par la VM était en fait l’entrée de la carte SD sur l’ordinateur. Une fois ce problème résolu, on peut finalement s’attaquer au transfert qui s’avère finalement très simple.

Capture du 2013-05-01 10_05_22

Dans OpenPGP, cliquer sur « gestion des clés », trouvez la clé qui vous intéresse et choisissez l’option « exporter des clés vers un fichier ». Dans ce cas précis, c’est bien entendu l’export de clé privée qui m’intéresse. Direction la clé USB, donc, dans mon cas la carte SD.

L’import

Arrivée sur le nouvel OS, Thunderbird en mode run, me voici de retour dans l’interface de gestion des clés. Là, il suffit de cliquer sur « importer des clés depuis un fichier » et de la choisir dans le dossier où on l’a stockée. La machine s’occupe du reste.

Capture du 2013-05-01 10_07_49

J’ai voulu m’amuser à remplacer ça part la clé publique pour voir ce que cela donnait, bien entendu, impossible d’envoyer un mail par la suite. Du coup, suppression et nouvel import bien propre de la clé privée.

Surtout, pensez à supprimer le fichier de votre clé USB et de la reformater !

Limites du transfert

A ce propos, une question se pose pourtant : celle du support qui a transporté cette clé privée d’un point A à un point B. Comment être sûre qu’après plusieurs reformatage de cette clé USB/carte SD/disque dur externe, on ne pourra pas accéder à ce que nous mettons à l’intérieur ? Et par conséquent, pouvoir déchiffrer nos mails ? Une protection supplémentaire peut doit être le chiffrement de votre support qui sera un frein supplémentaire à l’accès à vos données.

Changer de clé quand on change d’ordinateur ? En recréer une pour repartir sur du propre ? Cela pourrait éviter la faille de la récupération de la clé sur le support. Puisque GPG est aussi basé sur une chaîne de confiance, si votre clé a été signée à plusieurs reprises, si vos contacts l’ont, ce n’est pas vraiment une bonne idée, me dit-on. A lire dans le prochain et dernier billet de la série.

L’Art de l’intrusion, Kevin Mitnick & William-L Simon

Après l’Art de la supercherie, déjà évoqué ici, Kévin Mitnik et William-L Simon réitèrent avec l’Art de l’intrusion. Autant le premier m’a vraiment marquée, autant le second, bof bof.

Après l’Art de la supercherie, déjà évoqué ici, Kévin Mitnick et William-L Simon réitèrent avec l’Art de l’intrusion. Autant le premier m’a vraiment marquée, autant le second, bof bof.

mitnickLe livre se veut d’accès grand public, lisible par tous, et raconte les exploits de divers pirates informatiques, mais pas que, puisque le social engineering tien aussi une petite place. Même principe que le premier, donc, des histoires qui s’enchainent, sauf qu’il n’est pas question de récupérer des mots de passe par téléphone ou de gruger la confiance de quelqu’un, mais bien pour la plupart du temps de hacking de machines.

On suit tour à tour des ingénieurs qui reversent les programmes de machines à sous pour comprendre les séquences et ainsi créer leur propre programme de prévision des jackpots à partir des combinaisons qui sortent.

On entre dans des systèmes avec des adolescents qui se font avoir par… on ne sait pas s’il s’agit d’un terroriste, d’un agent du FBI, des d’eux, d’un infiltré… attirés par l’appât du gain. On suit le quotidien, pas à pas, de prisonniers affectés à des taches informatisées, qui découvrent, apprennent, et arrivent à détourner le réseau de leur lieu de détention seulement pour réussir à se connecter à Internet.

Enfin, on suit quelques pentesteurs dans les entreprises où ils officient, tous les coups sont permis, failles informatiques, téléphoniques ou humaines, pour auditer au mieux les sociétés qui les embauchent.

Ce livre n’est pas assez détaillé techniquement pour qu’il puisse servir à quiconque aurait envie d’apprendre à bidouiller mais dresse, à travers ces quelques exemples, un portrait de la réalité : machines peu protégées des accés physiques, mots de passe vulnérables, voire d’origine, pare-feu non remis à jour… Et là où ce bouquin es intéressant c’est qu’à la fin de chaque histoire, un petit bilan est dressé et les deux co-auteurs donnent des pistes sur comment mieux protéger son système.

Les dernières lignes du livre rappellent qu’il faut régulièrement changer ses mots de passe en évitant d’employer les mêmes partout et en étant un peu astucieux sur le choix des caractères que l’on emploie.

smartphones, attention danger

Attention, le vilain méchant voleur de données va rentrer dans ta maison pour venir tout te prendre ! Mieux, on s’extasie comme si tout ça sortait tout juste d’un chapeau alors que nous avons tous la possibilité d’assister à cette fuite de données au quotidien, le téléphone à la main.

5601654995_a787e9acf5_n

Tout le monde s’alarme de la collecte de données personnelles en lien avec l’usage des smartphones, on en est presque à la mode du moment depuis que la CNIL a sorti un rapport sur le sujet.

Attention, le vilain méchant voleur de données va rentrer dans ta maison pour venir tout te prendre ! Mieux, on s’extasie comme si tout ça sortait tout juste d’un chapeau alors que nous avons tous la possibilité d’assister à cette fuite de données au quotidien, le téléphone à la main.

Oui, nous savions et nous savons. Rien de nouveau sous le soleil, si ce n’est certains chiffres qu’on a sous les yeux qui peuvent faire frissonner la ménagère. Voilà bien longtemps que ton téléphone n’est plus juste un téléphone, lecteur. Il s’agit d’un vrai petit ordinateur de poche qui te donne l’heure, la météo, les news, te permet de discuter en direct par écrit, de twitter, de consulter tes mails, surfer sur internet et même tout chiffrer si tu veux un peu protéger tes données.

« Aujourd’hui, 24 millions de français possèdent un smartphone, près d’1 million d’applications sont disponibles et font partie de leur quotidien.»

Lorsque tu télécharges une application, lecteur, qu’il s’agisse d’un téléphone sous Androïd ou d’un iPhone (désolée, je n’ai pas testé l’Ubuntuphone), avant de valider ta demande de téléchargement/installation, s’affiche une page avec les fonctionnalités de l’application.

Elle peut, par exemple, se connecter à ta microSD pour stocker de la musique, des images, elle peut aussi se connecter à ton accès 3G ou wifi si elle a un quelconque rapport avec Internet.

Et toi, tu cliques sur valider pour l’installer

Sauf que ton appli, il est parfois possible qu’elle accède à ton répertoire, qu’elle se serve de ta géolocalisation, qu’elle accède à tes SMS, qu’elle en envoie, voire qu’elle balance tes données au créateur de l’appli.

Ce n’est pas nouveau, c’est juste écrit, il suffit de lire pour s’en apercevoir et choisir, ou non, de télécharger une application. Skhaen en parlait d’ailleurs, il y a presque un an, dans sa conférence à PSES.

Le problème c’est que, comme d’hab, nous faisons passer notre petit confort perso, nos envies, avant ces questions de sécurité qui sont primordiales. On baisse les bras, préférant feindre de ne pas voir plutôt que de se priver de la dernière appli à la mode.

J’avais essayé, il y a quelques mois, de signaler ce problème à des collègues journalistes avec qui je bossais alors et qui téléchargeaient une application de dessin sur smartphone. Juste lire les conditions d’utilisation avant de signer. Trop tard : « Rhooo, c’est bon, la geek, arrête… »

On veut dessiner alors… mais à quel prix ?

******************************************************

MAJ du 13/04

Le précédent titre ayant été breveté par une compagnie du spectacle ainsi que par une candidate d’émission de télé réalité, j’ai du supprimer le head de ce papier.

Le 27 avril, c’est cryptoparty

Le loop, hackerspace parisien, organise le 27 avril prochain sa cryptoparty. C’est quoi donc ? Un moment d’échange(s) autour de la sécurité. Echanges de bons conseils, échanges de clés à signer, échanges d’infos…

800px-asymetric_cryptography_-_step_2-svg

Le loop, hackerspace parisien, organise le 27 avril prochain sa cryptoparty. C’est quoi donc ? Un moment d’échange(s) autour de la sécurité. Echanges de bons conseils, échanges de clés à signer, échanges d’infos…

L’événement est accessible à tous. Il suffit d’avoir envie d’apprendre et de progresser et d’adresser la parole aux gens tout autour (non, on ne vous mordra pas…) même si on part de quasi pas grand chose, la porte est grande ouverte.

Ramenez donc PC, miam, glou, bonne humeur et pourquoi pas clé USB pour faire mumuse avec. Un exemple ? La dernière fois, on avait fait des clés tails entre deux signatures de clés GPG à la table où je me trouvais… et ces petites choses sont fort utiles.

Il ne me reste plus qu’à vous préciser que c’est à Paris, à la Gare XP (où se passent tout plein de trucs sympas) à partir de 14h et à vous indiquer la page dédiée sur le wiki du loop pour en savoir plus.

See ya there.

#Infosec, télévision, censure, BZH, égalité salariale, vidéosurveillance… Les liens du dimanche #21

#Infosec, télévision, censure, BZH, égalité salariale, vidéosurveillance… Les liens du dimanche #21

Welcome in your world ! Le monde où l’on manque de gens compétents en sécurité informatique, le monde où Bluetouff se fait balader par Direct8, et où The Atlantic préfère se concentrer sur les malheurs de feu Aaron Swartz. L’Islande veut censurer le porno, ce qui porte atteinte à la neutralité du Net. Dans le bush australien, on attend les satellites pour être connecté au monde.

2soutien_pik2fe9-0ac10

Alors que les Bretons pourront prendre leurs aises sur la toile dans ton monde, un élu commence à s’inquiéter de la question de la vidéosurveillance dans le cadre du respect de la vie privée. SFR recrute le concepteur de la loi Hadopi, Les Suisses s’opposent au gavage des patrons (et on les kiffe un peu, les Suisses, là…) et Lesh Walesa rappelle à notre bon souvenir ses tendances homophobes.

Si tu es une femme et que tu vis en Europe, tu dois travailler 59 jours de plus par an qu’un homme pour toucher le même salaire… On parle là de l’équivalent de 2 mois. Les aides à la presse ont été publiées… et ça fait beaucoup de sous.

Sur Internet, le trafic d’ivoire se développe à toute vitesse, alors qu’en Syrie, la situation humanitaire est catastrophique, selon MSF.

La bonne nouvelle de la semaine, c’est que le prix des billets d’avion a été divisé par deux… Bon, en 30 ans, c’est vrai, mais quand même… Surtout qu’Argonne nous donne envie d’aller à Nantes.    

Ton dossier médical sur Internet

Le cas n’est pas isolé puisqu’en février dernier, Actusoins révélait les résultats de son enquête sur l’accessibilité en ligne des données médicales. Il suffisait de taper le nom d’un médecin suivi de la mention « hopital foch » pour accéder au serveur de l’hosto de Suresne et se taper la totalité des dossiers de ses patients.

Voilà quelques mois que l’on parle de ces questions de sécurité de données médicales. Le marché est florissant et visiblement, tous les acteurs ne mettent pas le même entrain à chiffrer, puisque une Marseillaise à découvert, tranquillette en surfant sur la toile, son dossier médical en ligne.

Capture

Le cas n’est pas isolé puisqu’en février dernier, Actusoins révélait les résultats de son enquête sur l’accessibilité en ligne des données médicales. Il suffisait de taper le nom d’un médecin suivi de la mention « hopital foch » pour accéder au serveur de l’hosto de Suresne et se taper la totalité des dossiers de ses patients.

La faille a été réparée depuis mais il a quand même été possible d’accéder en quelques clics aux dossiers médicaux pendant plusieurs mois. C’est la non sécurisation en amont des données et le fait qu’il ait fallu que l’article sorte pour que l’administration hospitalière daigne prendre les choses en main qui est ici problématique.

Business de la protection sociale

Mieux ! le site révélait aussi que les listings étaient accessibles et que l’on pouvait ainsi connaitre jusqu’au numéro de chambre des patients et le service dans lequel ils étaient soignés… De quoi déduire, pour certains d’entre eux, que la personne hospitalisée est atteinte d’une grave maladie.

Les conséquences sont désastreuses puisque si fuite de données médicales il y a, les assurances peuvent s’en servir pour refuser de prendre en charge tel ou tel patient, pour augmenter leurs tarifs suivant les problèmes médicaux des personnes… Le business de la protection sociale que cela pourrait entraîner s’ajouterait donc à la violation de vie privée.

L’enquête pointe aussi du doigt la volonté de certaines administrations hospitalières à refuser de faire appel à des sociétés agréées par l’Etat, qui garantissent la protection de ces données médicales. Elles préfèreraient auto-héberger leurs données dans des conditions de sécurité déplorables plutôt que de dépenser le budget nécessaire.

#Infosec, RSF, TPB,précarité, Internet, cumul, Egypte… Les liens du dimanche #19

Welcome in your world où la sécurité informatique est un métier d’avenir !

Dans ton monde, on met toujours des journalistes en prison, notamment en Iran, signe la pétition et n’oublie pas de consulter le rapport RSF de cette année. Plus drôle, The Pirate bay attaque la hadopi locale pour piratage.

Dans ton monde, les femmes deviennent de plus en plus précaires et les lingots de Ben Ali transiteraient par la France. Au Pakistan, ça sent pas vraiment le bonheur, et on essaie de prouver en Europe, où on a bien d’autres considérations que les droits de l’Homme que non, Internet ne rend pas accro et si on s’ennuie encore, on peut mettre des téléphones au frigo.

En France, on veut repousser l’interdiction du cumul des mandats, moi président, toussa… alors qu’en Egypte, finalement, c’est l’Etat qui s’oppose au blocage de Youtube décidé par la justice, c’est un peu le monde à l’envers !

Et en Syrie ?

Capture

RSF, surveillance, #InfoSec, Azerbaïdjan, presse, égalité… Les liens du dimanche #6

Cette semaine, sur ta planète, l’asso RSF est montée au créneau cette semaine pour bien expliquer à nos députés européens, les belles merdes que sont ces produits de surveillance du Net. Dans le même temps, l’Union Européenne met en place un projet « Clean it » visant à rassembler les acteurs d’Internet pour supprimer tout contenu pouvant inciter à des activités terroristes. En gros, censurer…

Continuer la lecture de « RSF, surveillance, #InfoSec, Azerbaïdjan, presse, égalité… Les liens du dimanche #6 »

OPSEC et le langage écrit… ou la faille de sécurité entre la chaise et le clavier

J’ai lu, il y a quelques jours, un billet de TomChop qui m’a bien fait cogiter et reprend de manière très simple, certains des principaux risques en terme de sécurité informatique, entre sécu pure et social Engineering. Il m’a permis de le traduire et de vous le poster ici. Bonne lecture.

 J’ai récemment eu le plaisir de parcourir les diapositives d’une présentation de The Grugq(EN) appelé OPSEC pour les hackers(EN). Comme vous l’aurez deviné, le thème principal est la sécurité opérationnelle(EN). La sécurité opérationnelle, la sécurité des opérations, l’OPSEC… c’est tout sur les mesures qu’on prend pour s’assurer que ses actions (ou inactions) ne laissent pas fuiter certaines informations (utiles) à un adversaire éventuel. Certains l’appellent la paranoïa, d’autres l’appellent… OPSEC.

Continuer la lecture de « OPSEC et le langage écrit… ou la faille de sécurité entre la chaise et le clavier »

Syrie, Santé, Maroc, hacking, Greenpeace… Les liens du dimanche #5

Ce dimanche, direction la Syrie, terre des Moukhabarats où le silence est d’or. Des médecins d’hôpitaux le jour, travaillent la nuit à soigner les blessés de la révolution en toute discrétion avant de reprendre une vie quasi « normale » au lever du jour. Syrie, toujours, rendez-vous sur la ligne de front à Alep où un photographe français a filmé avec sa GoPro. Ames sensibles, s’abstenir.

Sur la place Tahrir, une fois de plus, ce sont les femmes qui trinquent… Pas vraiment surprenant au pays de la Harrassmap… malheureusement pas surprenant. Cette fois-ci, c’est une correspondante de France 24 qui a été agressée après un de ces directs depuis la place.

Continuer la lecture de « Syrie, Santé, Maroc, hacking, Greenpeace… Les liens du dimanche #5 »