[Logo]
[Titre]

[Retour]

Archive for the ‘Actualités’ Category

Heartbleed

Dimanche, avril 13th, 2014

La tempête commence à passer pour OpenSSL et sa récente faille critique. C’est pour rappel un programme généraliste pour tout ce qui est chiffrement, y compris les certificats X509, les tunnels SSL et assimilés. On peut voir un peu partout sur internet les implications de cette faille nommée Heartbleed.

Un site web et un logo sont dédiés à cette faille :

heartbleed
http://heartbleed.com/

Évidemment, c’est un gros problème pour une grande partie des serveurs sur Internet, et pas que pour les serveurs web. Tous les services qui sécurisent leurs communications avec TLS sont potentiellement impactés, et surtout tous ceux qui utilisent la librairie OpenSSL. Cela inclut des serveurs web (https) mais aussi la messagerie (smtp, imaps, pop3s), la messagerie instantanée (xmpp), etc…
Le plus rude pour un administrateur d’un serveur concerné, c’est que rien n’apparaît dans les logs (journaux). Tout au plus peut-on voir les tentatives avec un IDS ou une analyse fine du trafic réseau.

Pour résumer l’ambiance, rien de mieux que la citation :

« Si vous gardez votre sang-froid alors que tout le monde panique autour de vous, peut-être avez-vous mal évalué la situation »
Stéphane Bortzmeyer (site)

Aujourd’hui, un serveur concerné par la faille et non à jour est un serveur vulnérable.

Et les machines utilisateurs ?
Elle sont concernées aussi. OpenSSL est inclus dans beaucoup de logiciels pour gérer facilement le chiffrement. La faille marche aussi en sens inverse, depuis un serveur malveillant.

Pour ma pomme, mon principal serveur utilise une version un peu plus ancienne de OpenSSL, packagée. Cette version reçoit régulièrement des correctifs mais n’est pas impactée par Heartbleed. Ça passe pour cette fois même si je suis bon pour devoir mettre à jour tout mon serveur prochainement…
J’utilise aussi OpenSSL pour le projet nebule et le projet sylabe. Les fonctions internes de chiffrement et signature ne sont pas concernées. L’accès aux serveurs, via https, est concerné pour certains robots de test de sylabe. Ils n’ont pas été utilisés pendant la semaine de tempête.

Quels utilisateurs sont potentiellement concernés ?
En fait, tous les utilisateurs qui ont utilisés un compte sur un serveur utilisant OpenSSL avec la faille.
Il suffit pour les admins de regarder les logs des connexions côté public et de prévenir tous les utilisateurs qui se sont connectés pendant la période de temps critique. Mais une société commerciale a-t-elle vraiment envie de diffuser à ses utilisateurs que ses serveurs ne sont pas forcément aussi sûrs que ça !?
Doit-on prendre comme début de période de temps la date de diffusion publique de la faille ? Ou doit-on prendre la date d’ajout de la faille (volontaire ou pas), 2012 ? On passe de la semaine aux deux dernières années. On passe des dernières connexions à tous les utilisateurs. L’impacte n’est pas le même.
Et puis ce n’est pas aussi simple que ça. Si le chiffrement des connexions est séparé des serveurs web, si on a des frontaux dédiés aux tunnels TLS, seuls ceux-ci sont concernés. Il n’est dans ce cas pas utile de faire changer les mots de passes des utilisateurs.
Certaines grosses sociétés américaines ont été prévenues un peu en avance de la diffusion pour être à jour au bon moment. Il ne s’agirait pas que des services critiques comme Google ou Facebook ne soient bloqués, les banques peuvent attendre ;-)

Il pourrait être tentant pour certains admins de changer de solution de chiffrement. Oui, mais laquelle choisir? GnuTLS? Celle de Microsoft? Une solution propriétaire payante?
Je ne suis pas sûr du tout qu’échanger un programme avec les sources publiques par un programme aux sources fermées (programme privateur) soit une bonne solution. Quelque soit la qualité de certains programmes de M$, en logiciels de sécurité, il n’est pas très bien vu de ne pas disposer des sources. Quelle confiance peut-on apporter à un programme qui ne peut être librement audité par tout le monde. Je passe sur les récentes affaires révélées par Mr Snowden. La sécurité par l’obscurité, c’est comme ça que cela s’appelle, est très souvent employée pour cacher les choses mal programmées.
Ceci dit, la diversité à aussi du bon. Mixer les technologies et implémentations permet de ne pas se retrouver avec tous ses serveurs à poil en même temps en cas de coup dur comme Heartbleed
GnuTLS a eu des problèmes récemment, SecureTransport de Apple aussi. Les problèmes ne sont donc pas spécifiques aux logiciels à code ouvert.
Ce n’est pas la première fois que l’on a ce genre de problème, et ce ne sera pas la dernière.

Une solution, séparer la fonction de chiffrement TLS sur des serveurs dédiés. Le bout des tunnels sécurisés s’arrêtent aux portes des serveurs web, sur des machines spécialisées. Dans ce cas, seules les connexions en cours, leurs clés de sessions, sont vulnérables.
Les certificats de ces serveurs frontaux TLS sont aussi potentiellement compromis, donc à changer, sauf si ceux-ci sont stockés sur des cartes dédiées (pas en mémoire).
C’est d’ailleurs une bonne pratique pour tous les serveurs, et pas seulement les frontaux web : séparer les services entres eux et les applications sur des serveurs différents. Les séparer sur des machines physiques différentes et des réseaux physiques différents si leurs criticités sont différentes. Mais comme toujours, ça demande du temps, des compétences et du pognon.

L’autre solution, si tu es concerné :

  1. mettre à jour les serveurs et les postes clients ;
  2. changer les certificats des serveurs ;
  3. changer les mots de passes des utilisateurs.

Une question reste en suspend. Est-ce une 0-days ?
Va-t-on découvrir que certains l’utilisaient depuis quelques temps ? La NSA par exemple ? Rien n’est jamais définitivement écrit.

Fin de support Windows XP

Mercredi, avril 9th, 2014

Ça y est, nous avons franchi la date fatidique du 8 avril. Il y a eu beaucoup de bruit récemment sur la fin du support de M$ Windows XP. Et pourtant il ne se passe finalement pas grand chose pour l’instant. Pas de fin du monde en vue.
C’est comme si l’on avait enfin franchi le mur du son. On est encore surpris de ne pas s’être fracassé sur le mur… mais on ne se rend pas encore compte que le pire est à venir. Progressivement, on va commencer à perdre des pièces, petit à petit. La perte de contrôle, c’est pour bientôt.

C’est moche, OpenSSL est en train de voler la vedette dans l’actualité. Il faut dire, le problème est sérieux aussi…

Mais revenons à nos moutons…
Cela fait un moment que cette fin de support est prévue. Et pourtant, la presse ne s’en empare que depuis peu. Le laps de temps entre le début de la vague d’alerte et l’expiration de l’échéance a été très court. Tellement court que certains utilisateurs se rendent compte la veille que le machine va avoir des problèmes. Ce laps de temps ne laisse pas de temps de répit à ceux qui ne comprennent pas grand chose à l’informatique. Et oui monsieur, il va falloir très rapidement acheter une nouvelle machine!

Bon, le mur est passé, mais pour l’instant ça tient.
On peut se dire que ça tiendra bien au moins un mois, comme d’habitude entre deux diffusions des mises à jours par Microsoft. Ça n’est pas aussi simple. Il n’y aura sûrement pas plus de nouvelles failles de sécurité qui sortiront dans le même laps de temps. Mais le marché des failles 0-days doit exploser. Pour un groupe de pirates qui souhaite augmenter son botnet, son réseau de machines zombies, une grande quantité de machines vont devenir facilement corruptibles sans qu’un patch ou un anti-virus ne risque de les y déloger. Il s’agit maintenant d’en faire tomber un maximum avant la concurrence. Et une fois qu’une nouvelle machine est dans son botnet, il faut empêcher qu’elle ne tombe aux mains d’un autre botnet… qui éjectera ses concurrents.
Ce nouveau marché de machines prêtes à intégrer un botnet est gigantesque. Au niveau mondial, des statistiques montrent que plus de 27% des ordinateurs individuels sont encore sous Windows XP. Pour des pays comme la Chine, ce serait de plus de 50%.

Il est à noter que malgré le grand âge de Windows XP, 12 ans et 6 mois, et malgré ses nombreuses corrections de sécurité et améliorations (Service Pack) on lui trouve toujours régulièrement de nouvelles failles. Comme quoi, un système d’exploitation, et par extension tout programme, ne se bonifie pas beaucoup avec le temps en terme de sécurité.

Beaucoup vont le regretter, à commencer par les propriétaires des unes machines sur quatre dans le monde sur lesquelles Windows XP tourne encore.
Pourquoi tant de monde l’utilise encore ?

  • C’est un système qui, bien qu’aillant subit plusieurs évolutions, est resté relativement léger. Il est capable de tourner sur des machines jugées aujourd’hui modestes voir complètement obsolètes. Pour ces machines, il est illusoire d’essayer de les migrer vers une version plus récente de Windows.
  • Souvent, les logiciels sont plus problématiques que le système d’exploitation. Si on utilise une vielle application qui n’est plus supportée par son éditeur, on ne peut pas toujours espérer la réinstaller sur une machine plus récente. Et ce problème existe aussi avec certains périphériques que les constructeurs voudraient bien vous faire mettre à jour, bref vous faire racheter. On retrouve ce problème des applications et des périphériques dans les migrations de systèmes d’informations. Voila pourquoi une grande partie des entreprises n’a pas fait migrer ses machines si le besoin ne se faisait pas sentir. Je considère que c’est une faute professionnelle pour un DSI qui n’a pas encore fait migrer ses vieilles machines alors qu’il est forcément prévenu depuis quelques années maintenant. et c’est pareil pour la société de support informatique qui n’a pas prévenu ses clients, et qui va maintenant les mettre au pied du mur.
  • Ensuite, bien d’imparfaite et pas vraiment ergonomique, les utilisateurs ont leurs habitudes avec l’interface. Migrer vers un nouveau système, c’est changer d’interface. Les jeunes s’adaptent vite aux nouveaux environnements. Les plus anciens ont déjà eu du mal à s’adapter à l’informatique, ils auront encore plus de mal à changer.
  • Enfin, certaines machines anciennes sont encore utilisées voir recyclées avec Windows XP parce que cela coûte chère à l’achat ou à la migration. Ça coûte en terme financier, mais aussi en terme de temps et de terme de compétences. Quand on n’a aucun des trois, on garde ce que l’on a. Autant le dire tout de suite, il y a de bonnes chances, faute d’entretien régulier, que ces machines fassent partie d’un botnet.

Que faire avec sa vieille machine ?

  1. Première option, celle que le vendeur voudrait vous voir adopter, c’est de jeter votre ancienne machine et en acheter une nouvelle.
  2. L’autre option, c’est de tenter de mettre à jour a vieille machine vers une version plus récente de Windows. Évidement, il faut acheter une nouvelle licence alors que la machine marchait très bien jusque là (supposition). Il faut la réinstaller et réinstaller toutes les applications, ce n’est pas à la portée de tout le monde.
  3. Et c’est tout ?
    Non, il y a aussi une autre solution, extrême. On peut garder la machine en l’état et ne plus la brancher au réseau. Fini le surf sur Internet, la consultation des messages, le partage des photos. Fini aussi les clés USB que l’on branche dessus avec insouciance… Capote version XXXL!
  4. Il y a la solution de l’autruche. Faire comme si de rien n’était. Après tout, c’est sûrement encore un coup des sionistes/musulmans/capitalistes/états/extra-terrestres (rayer les mentions inutiles) pour étendre leur pouvoir sur la terre.
  5. Et puis il y a la solution du recyclage. Une machine qui a dix ans, on peut encore la réinstaller avec Linux. Il faudra quand même éviter les environnement trop lourds comme Gnome ou KDE. C’est une migration en bonne est due forme, ça demande aussi quelques compétences. Mais, pour peu que l’on n’ai pas de besoin spécifique en logiciels ou des matériels très exotiques, on va pouvoir continuer à utiliser cette machine sur Internet un peu comme avant, mais protégé. Ça va demander de changer quelques habitudes, mais de toute façon, c’est ce qui vous attend quelque soit la solution retenu…

Ripe In Peace.
Leave room for the young.

Windows-XP-RIP-main

Le bonheur, c’est dans la tête

Samedi, février 22nd, 2014

« Je voudrais être heureux. »

Certains détruisent la vie, les autres, le monde pour se réchauffer le cœur. Les extrémistes et intégristes politiques, religieux et/ou philosophiques semblent impatients de transmettre la terreur et la haine pour assurer leur propre bonheur.

D’autres partagent au contraire l’amour, l’amitié, la compassion et l’humanité. Individuellement, via une association caritative ou humanitaire, on transmet un peu de bonheur à quelqu’un qui en a besoin pour en retirer soi-même du bonheur.

Si des comportements opposés amènent du bonheur, c’est peut-être tout simplement qu’ils ne sont pas la source du bonheur. La phrase « Je voudrais être heureux » est en elle-même un aveux d’échec, celui qu’on le cherche encore. Le bonheur ne se recharge pas, ne se remplit pas, ne sature pas, ne se vole pas.
Le bonheur est un état d’esprit, il se décrète.
Le bonheur, c’est dans la tête.

Le masque

Mercredi, février 12th, 2014

Aujourd’hui, l’actualité informatique est secouée par la révélation du logiciel d’espionnage Careto. Cette révélation est à mettre au crédit de la société Kaspersky qui a mis au jour une bonne partie de l’ensemble du réseau de victimes et de serveurs de C&C.

Il est encore trop tôt pour en tirer des enseignements. Mais déjà il y a plusieurs remarques à faire.

On ne sait pas (officiellement) qui est le commanditaire de ce système perfectionné de piratage qui prend pour cible des gouvernements, des missions diplomatiques, des activistes et de grandes sociétés. Les différents graphes présents dans l’étude nous renseigne un peu sur le contexte des cibles mais pas sur les vraies motivations des pirates. Tout au plus on insiste fortement sur le caractère très organisé de ceux-ci, ce qui laisse penser plutôt à une organisation gouvernementale. Je pense que la diffusion des vrais adresses IP derrières les statistiques nous en apprendraient beaucoup plus sur l’identité réelle ou la parenté des cibles, et donc des motivations des attaquants. La répartition des cibles dans quelques pays du monde donne un centre de gravité qui ne semble lié ni à la Russie, ni à la Chine et ni au USA. Mais ça n’est pas une preuve d’absence et le reste n’est que spéculation.

Si le programme malveillant ne s’était pas attaqué à une vulnérabilité ancienne est depuis longtemps connue d’un des produits de la société Kaspersky, celle-ci n’aurait pas fait l’effort d’analyser le code du programme et n’aurait peut-être pas découvert l’ampleur du problème. Donc il y en a sûrement d’autres classés comme virus mais pour lesquels ont n’a pas relevé la complexité et la gravité.

Il y a encore une fois l’utilisation de vulnérabilités 0-days. La victime est très classiquement corrompue par un lien dans un email. Les serveurs permettant la compromission du poste gèrent de multiples systèmes d’exploitations, y compris à priori des smartphones et tablettes. Le système de maintient en place du logiciel malveillant (APT) est très évolué. En 7 ans, aucun flux réseau anormal n’a attiré l’attention lors de l’exfiltration de documents.

Enfin, il faut bien se rendre compte que ce n’est que le sommet de l’iceberg qui ressort. Ce réseau pirate est en fonctionnement depuis 7 ans et a semble-t-il changé de technologie en cours de route. On a eu Stuxnet, Flame, Duqu et maintenant on a aussi Careto. On a eu les américains, les israéliens, les chinois et maintenant des hispanophones…

Document original : http://www.securelist.com/en/downloads/vlpdfs/unveilingthemask_v1.0.pdfCopie locale : careta_unveilingthemask_v1.0

careto_04s

To be spammer or not to be

Dimanche, février 9th, 2014

le site web bons-plansduweb.com est un bon gros émetteur de SPAM. Qu’on se le dise!

Spammer une boite email de webmaster, c’est vraiment pas très malin… Faut changer de robot de spam…

Petite remarque, celui-ci semble quand même plus évolué que la moyenne des robots puisqu’il respecte les RFC.

2014

Mercredi, janvier 1st, 2014

Bonne année !
Feliz año nuevo !
Happy new year !

Noël

Mercredi, décembre 25th, 2013

Joyeux Noël !
Feliz Navidad !
Merry Chrismas !

carte noel 2013

Sélectionner un OS sécurisé en entreprise : ne pas faire d’erreur dès la première étape

Samedi, décembre 21st, 2013

Au détour d’une recherche de renseignements sur de la crypto, je tombe sur l’article Selecting a Secure Enterprise OS: Don’t Make the First Step the Wrong Step.

Je lit l’article de 2005, un peu amusé.
Et aujourd’hui, en 2013, qu’en est-il ?

Et bien aujourd’hui, malgré les incertitudes de l’auteur, Linux n’a pas disparu, ni FreeBSD d’ailleurs. C’est pire encore, il y en a absolument partout!

Comparer le cycle de développement de Microsoft avec les autres OS est un peu osé. Surtout si l’on met en avant la mise à jour du noyau Linux en deux étapes, donc plus long que le même processus chez MS. Or l’histoire a montré que la communauté réagissait plus vite dans les corrections de failles que la société multi-milliardaire en dollars et en machines installées.

Dire que les patchs de Linux peuvent introduire des confusions et des problèmes de gestion, c’est en partie faux. Ce peut être éventuellement le cas si on change radicalement de version ou de distri. Mais c’est faux si on reste sur une distri dite stable ou à support allongé.

Enfin, comparer la gestion des mises à jours chez MS et sur BSD ou Linux est trompeur. MS fait bien son boulot, oui à condition de ne considérer que les logiciels MS à l’exclusion de tout autre. Or dans la vraie vie, on trouve aussi bien sur stations que sur serveurs un grand nombre d’applications tierces dont il faut assurer le suivi au jour le jour. C’est par exemple Flash ou Java. Certains éditeurs font de grands efforts mais chacun travaille dans son coin. Et ce travail de suivi est éreintant. Ah, on me dit que c’est justement un des arguments contre le mode de développement de Linux… Sauf qu’une distribution Linux intègre le suivi de toutes les applications qu’elle propose, et cela va bien plus loin que l’OS et quelques outils. Il est ainsi bien plus facile de tenir à jour un parc Linux qu’un parc Windows, même à long terme.

Si on ajoute en plus de problème de suivi des licences, le casse-tête des applications propriétaires généralement sous Windows n’a pas d’équivalent dans le monde du logiciel libre.
Ah, on me dit que cela ne fait plus partie de la première étape…

C215

Samedi, novembre 9th, 2013

Juste pour afficher mon soutien à un artiste, C215, et mettre un lien vers son site web : http://www.c215.fr/ et http://www.c215.com/

/dev/random on Linux kernel

Mardi, octobre 22nd, 2013

Theodore Ts’o said (link) :

I am so glad I resisted pressure from Intel engineers to let /dev/random rely only on the RDRAND instruction.   To quote from the article below:

« By this year, the Sigint Enabling Project had found ways inside some of the encryption chips that scramble information for businesses and governments, either by working with chipmakers to insert back doors…. »

Relying solely on the hardware random number generator which is using an implementation sealed inside a chip which is impossible to audit is a BAD idea.

Thanks !!!
Merci à toi :-)

On sait aujourd’hui grâce à tout ce qui est révélé sur les pratiques de la NSA les risques que l’on encourait vis-à-vis de la NSA elle-même mais aussi de fait vis-à-vis de tous autres gouvernements et organisations criminelles ayant suffisamment de moyens.
Le générateur de nombres aléatoires du noyau Linux n’est peut-être pas parfait. Mais on sait qu’il n’est pas mauvais… et que ce n’est pas le pire, loin de là.
Et chez Microsoft, ça s’est passé comment ?

Liens :
https://plus.google.com/117091380454742934025/posts/SDcoemc9V3J
https://www.schneier.com/blog/archives/2013/10/insecurities_in.html
http://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet-encryption.html?pagewanted=all&_r=0

How to Remain Secure Against the NSA – traduction

Dimanche, septembre 22nd, 2013

En visitant le blog de Bruce Schneier, je suis tombé sur un long et intéressant article : How to Remain Secure Against the NSA
Le contenu de cet article me semble important par rapport à toutes sortes de spéculations sur le cassage d’algorithmes cryptographiques suite aux révélations d’Edward Snowden. Je vais me concentrer sur les 5 points, traduits ici :

  1. Caché dans le réseau. Implémentez des services cachés. Utilisez TOR pour protéger votre anonymat. Oui, la NSA cible les utilisateurs de TOR, mais cela est efficace sur eux. Moins vous serez à découvert, plus vous serez en sécurité.
  2. Chiffrez vous communications. Utilisez TLS. Utilisez IPsec. Encore une fois, bien qu’il soit vrai que la NSA cible les communications chiffées (et ils connaissent peut-être des failles spécifiques contre ces protocoles), vous serez bien mieux protégés que si vous communiquez en clair.
  3. Prenez pour acquis que, bien que votre ordinateur puisse être compromis, cela nécessite du travail et représente un risque pour la NSA (donc il ne l’est probablement pas). Si vous avez quelque chose de vraiment important, utilisez un transfert par un moyen déconnecté. Depuis que j’ai commencé à travailler avec les documents de Mr Snowden, j’ai acheté un nouvel ordinateur qui n’a jamais été connecté à internet. Si je veux transfèrer un fichier, je chiffre le fichier sur l’ordinateur sécurisé puis l’emène à pied jusqu’à mon ordinateur sur internet, sur une clé USB. Pour déchiffre quelque chose, j’inverse le processus. Cela ne doit pas être infaible, mais suffisement bon.
  4. Soyez méfiants envers les logiciels de chiffrement commerciaux, spécialement des grands éditeurs. Mon avis, c’est que la plupart des produits de chiffrement des grandes entreprises US ont des portes dérobées pour la NSA, et il est probable que les entreprises étrangères fassent de même. Il est prudent de considérer que les équipements étrangers aient aussi des portes dérobées pour une puissance étrangère. Il est plus facile pour la NSA de placer une porte dérobée dans un logiciel à sources fermées que dans un autre aux sources ouvertes. Les systèmes reposants sur un important secret sont vulnérables à la NSA, que ce soit pour leurs activités légales ou plus clandestines.
  5. Essayez d’utiliser des algorithmes de chiffrements dans le domaine public qui nécessitent d’être compatibles avec d’autres implémentations. Par exemple, il est plus difficile pour la NSA de placer une porte dérobée dans TLS que dans BitLocker. Parce que tous les implémentations de TLS doivent être compatibles entre elles alors que BitLocker ne doit être compatible qu’avec lui-même, donnant à la NSA plus de libertés pour aporter des changements. Et parce que BitLocker est propriétaire, il est beaucoup moins probable que ces changements soient découverts. Préférez la cryptographie symétrique plutôt que la cryptographie à clé publique. Préférez les systèmes conventionnels à logarithmes discrets plutôt que les systèmes à courbes elliptiques. Ces derniers ont des constantes que la NSA influence dès qu’elle le peut.

Petite remarque sur ce qui semble une incohérence. Il cite au point 4 d’essayer d’utiliser des logiciels à sources ouvertes. Et il dit utiliser plus bas un ordinateur sous M$ Windows : « And I’m still primarily on Windows, unfortunately. Linux would be safer. »
L’aveu est franc. Je pense que l’explication est simple, il se sent plus à même de sécuriser un système qu’il connaît bien plutôt qu’un système inconnu. Ça se défend.

D’autres développements sont fait plus spécifiquement sur le blog de nebule

Liens :
https://www.schneier.com/blog/archives/2013/09/how_to_remain_s.html
http://blog.nebule.org/?p=1206

TOR et le PRISM

Jeudi, août 22nd, 2013

Les divulgations autour du programme PRISM font se poser des questions à beaucoup de monde. Une des solutions préconisée est d’utiliser des outils de chiffrement et/ou d’anonymisation.

On savait déjà que l’anonymisation de données avait des limites. Des études au USA ont permit de retrouver les identités de personnes à partir de données anonymisées de la sécurité sociale. Le big data présente toutes les caractéristiques pour permettre des corrélations aboutissant au rattachement de données isolées à des personnes.

Mais intéressons-nous au réseau TOR. Ce réseau de re-routage et d’anonymisation a été conçu aux USA. Il est aujourd’hui encore maintenu par une fondation américaine.

La page de Wikipédia sur TOR parle d’une possibilité d’attaque dite Time Pattern, c’est à dire une attaque sur l’empreinte temporel des flux réseaux passants par des nœuds TOR. En effet, un nœud qui reçoit un paquet réseau TOR essaye comme un routeur de le renvoyer au plus vite vers le nœud suivant, et ainsi de suite jusqu’au serveur destinataire. La façon (temporel) qu’une machine a de « parler » sur le réseau est donc assez bien retransmise jusqu’au serveur destinataire.

Il faut, me direz-vous, pouvoir sniffer le serveur destinataire et le poste client (si il est connu), mais sûrement aussi tous les relais TOR intermédiaires pour pouvoir remonter du serveur au client. Cette méthode permet de lever l’anonymisation.
Si il semble facile, au moins pour un gouvernement, de capturer le trafic réseau d’un serveur en particulier, il semble difficile de pouvoir faire la même chose pour tous les nœuds TOR et encore moins tous les postes clients du monde, même pour un gouvernement. La robustesse du réseau TOR repose sur cette propriété.
Le réseau TOR repose aussi sur de la cryptographie, mais uniquement pour les échanges « proches ». Et cela ne protège pas du Time Pattern.

Or, que fait PRISM ?
Et bien il fait justement cette chose qui semble difficile à faire : capturer le trafic réseau d’une grande partie des ordinateurs de l’Internet, voir peut-être tous. Et cela comprend les serveurs, les nœuds TOR et les postes clients…

To be connected or not to be!

Dimanche, mai 5th, 2013

Un article intéressant sur lemonde.fr à propos d’une personne ayant essayé de se déconnecter d’internet pendant un an.

Qu’en ressort-il?
1. Oui c’est bon de temps en temps de déconnecter, d’ignorer un instant le flux informationnel ininterrompu.
2. Non on ne peut pas/plus se passer d’internet.

Il ne faut pas voir cet internet comme un transformateur de l’être humain. L’homme crée l’internet pour ses besoin, notamment sociaux. Nous ne faisons que reproduire à une échelle globale ce que nous faisions localement avant l’internet.

Mais alors pourquoi est-ce si difficile de se passer d’internet ?
Peut-être est-ce parce que nous sommes aujourd’hui habitués à cet instantanéité/permanence de mise en place des liens sociaux et de la consultation de la connaissance. Peu de personnes utilisent encore les anciennes méthodes, à savoir, les lettres, le téléphone, l’agenda papier, la montre, le journal papier, le bal musette, etc…
D’ailleurs, ce téléphone, même fixe, n’est-il pas déjà depuis longtemps un moyen de connexion sociale empreint d’instantanéité et de permanence ?

Et sans lien social, l’homme n’est pas…

CF article originel sur theverge.com.

WOW64 et le pâturage web

Dimanche, mars 3rd, 2013

Je regardais les logs du serveur web à la recherche de mon adresse IP pour un déboggage… m’attendant à voir de paisibles navigateurs sur le vaste pâturage de l’Internet. Et, horreur, qui est-donc ce vil WOW64 qui essaye de se logger aléatoirement sur mes blogs ???

La vermine est dénoncée par son user-agent assez visible. Pourtant il est officiel, au moins sous Windows, cf http://fr.wikipedia.org/wiki/User-Agent. Mais on est pas nombreux à prétendre pouvoir se connecter à ces blogs. Et on est presque tous sous Linux, alors un user-agent WOW64 apparenté à du Windows 64bits… c’est louche. Et surtout que ces tentatives surviennent toutes les 10 minutes en moyenne depuis des adresses IP presque toujours différentes.

La chaîne du user-agent : Mozilla/5.0 (Windows NT 6.1; WOW64; rv:18.0) Gecko/20100101 Firefox/18.0

Bref, solution radicale s’il en est, je décide de rejeter ce WOW64 sur le serveur. Certes je vais aussi bloquer des utilisateurs légitimes, mais ce ne sera que pour un temps. Le temps que ces connexions disparaissent…

Sous Apache, ajouter pour tous les sites visés les directives suivantes :

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} WOW64 [NC]
RewriteRule .* - [F,L]

YubiKey ou pas

Samedi, janvier 26th, 2013

Je m’intéressais à la YubiKey de Yubico.

J’ai un peu gratté autour et publiée le résultat de cette petite étude sur le projet nebule. Le faible coût d’achat couplé à la nécessité d’ajouter partout ou je peux (…) la reconnaissance de l’authentification via le YubiCloud m’a rapidement fait comprendre que, malgré les avantages, ce n’est pas tout à fait ce que je cherchais…

Bonne année 2013

Mardi, janvier 15th, 2013

Bonne année 2013 !!!
Feliz año 2013 !!!

::

Homo-cyberneticus

Mercredi, novembre 28th, 2012

Où en est-on de l’évolution de l’être humain en cyborg?

Cela fait 5 ans que ce n’est plus de la science fiction, mais juste de la science.
CF : Technix.starend.org – Homo-cyberneticus

Aujourd’hui, ce n’est bientôt presque plus de la science mais de l’actualité…
CF : Interfaces cerveau-machines : défis et promesses

Le peuple des abeilles

Jeudi, septembre 13th, 2012

En Californie, plus que le raisin et le vin, c’est la culture de l’amande qui rapporte le plus.

C’est ainsi des milliers d’hectares d’amandiers, monoculture par excellence.

Et en février, pour que tout ça marche, la moitié des ruches du pays migrent vers la Californie. Des abeilles bourrées de médicaments pour survivre à ce milieu dans lequel elles ne peuvent plus habiter à temps plein… et garder un minimum d’efficacité et donc de productivité.

(suite…)

La planète numérique

Vendredi, août 31st, 2012

Petite animation de l’expansion de l’homme sur toute la planète, ou presque.

(suite…)

Cyberdéfense

Mercredi, juillet 25th, 2012

Ca bouge cet été sur la cyberdéfense :