Tuxicoman

Aujourd'hui je voudrais vous intéresser au problème de sécurité posé par l'utilisation des cookies dans certaines conditions.

Sur Facebook, Gmail, WindowsLive, Wikipedia, etc.. ainsi que sur les forums vous ne rentrez qu'une seule fois vos identifiants et ensuite le site web se rappelle de vous tout au long de votre visite sur le site. Comment est-ce possible?

En fait, une fois vos identifiants envoyés au site web, celui-ci renvoie un cookie à votre navigateur web, une sorte de badge électronique personnel, et lui demande de le présenter à chaque nouvelle requête sur le site web. Ainsi le site web sait de qui vient la requête et quelles informations délivrer.

Maintenant imaginons un pirate qui veuille pouvoir devenir maitre de votre compte Facebook. Il n'a pas véritablement besoin de connaitre votre mot de passe. Il lui suffit d'aller sur Facebook avec votre cookie pour être reconnu comme vous ! Il reste donc à trouver ce cookie...

Sur des sites web comme ceux cités plus hauts, où tout le trafic est en clair passé l'authentification, il est très facile d'écouter vos communications sur un réseau local.

Il ne restait donc qu'à concevoir un petit programme qui automatise le sniff de cookies et l'injection de cookie dans un navigateur.

La parade est assez simple : Exigez auprès de ces sites web que les communications à caractère confidentiel et personnel soient chiffrées par SSL. Votre profil Facebook ou vos emails ont le droit à la confidentialité.

Même ce blog peut être consulté entièrement en SSL donc pourquoi pas Facebook, Gmail, etc...

Je croyais que les PDF ne pouvaient pas contenir de virus...jusqu'à ce que je tombe sur cette vidéo.

L'exploit consiste à se servir de code Javascript (et oui... le PDFpeut inclure de la 3D, du code, des vidéos...) pour prendre le controle du PC au travers d'une faille dans Acrobat Reader. Les autres logiciels lecteurs de PDF,  ne gérant pas l'exécution de code javascript, sont immunisés contre cette attaque (ouf !).

Mais bon Acorbat Reader sous windows, c'est quand même indispensable. Et si par malheur, notre navigateur web veut ouvrir un lien menant vers un PDF, Acrobat Reader va se lancer tout seul dans le navigateur... Heureusement, utilisateur averti que vous êtes désormais, vous pouvez vous prémunir face à ce type d'attaque en désactivant Javascript dans les préférences d'Acrobat Reader :

Cette faille est apparement exploitée depuis au moins le 30 novembre 2009. Mais Adobe ne prévoit de correctif à son logicel qu'à partir du 12 janvier 2010 !

Avec l'apparition des Freewifi et Neufwifi, il devient très facile et commode de se connecter n'importe où à Internet... et engager des communications privées comme lire ses mails, regarder des films XXX, chatter avec ses amis, etc... sans se préoccuper que toutes nos communications Wifi sont écoutables très facilement. En effet, même si il faut authentifier son ordinateur (ou plutôtl'adresse MAC de sa carte wifi) par l'intermédiaire d'une page portail pour pouvoir accéder à Internet, il n'y pas de protection du contenu de vos communications. N'importe quelle appareil wifi à portée peut enregistrer et lire vos convesations.

L'utilisation d'Airodump-ng et Wireshark vous permettra d'en juger par vous même.

Dès lors, qu'à t-on à craindre en clair?

1. On peut suivre les sites que vous visitez, et plus précisement les pages exactes et leur contenu.
2. Lire le contenu des messages MSN  et la liste de contacts lors de l'utilisation de WLM (pas le client web)
3. Récupérer vos mots de passe mail (pop3) et lire votre courrier par la même occasion
4. Récupérer vos identifiants (nom d'utilisateur/mots de passe) sur un forum ou site quelconque sans https. Avec de la (mal)chance, vous utilisez le même identifiant partout....
5. Récupérer vos cookies. Ca permet de se connecter à des sites chiffrés qui se basent sur l'utilisation des cookies (gmail...) sans avoir besoin de connaitre votre mot de passe.
6. Usurper votre identité (le voleur d'identité se connecte avec la même adresse MAC que vous)... vous devrez vous expliquer devant l'HADOPI de cette non sécurisation de votre identité, sic.

Les solutions :

1. Ne communiquez vos mots de passe que sur les sites en HTTPS. Si vous utilisez le même mot de passe partout, il suffit de se le faire voler une fois sur une connexion non sécurisée pour que tous vos accès soient compromis...
2. Utilisez un compte mail qui propose le POPS si vous utilisez un programme de lecture de mail (thunderbird, outlook, etc...)
3. Faire un tunnel de ses connections vers une connexion à Internet plus sûre?
4. Utiliser une connexion wifi WPA2 chiffrée par AES.

La loi HADOPI 2, qui vise à réintroduire la déconnexion arbitraire de la feu censurée loi HADOPI 1 passe devant l'assemblée nationale le 21 juillet (Mardi) à partir de 9h30.

Plus de 500 amendements ont été déposés par l'opposition afin de disposer d'un temps de parole leur permettant de remettre sur le devant de la scène l'hérésie des fondements même de la loi HADOPI. Jean Pierre Brard (Communiste) s'est même fendu d'un amendement visant à graver dans la loi que les membres de l'HADOPI "travaillent le dimanche" :)

Sachez que vous pouvez assister à cette comédie dramatique en live puisque les séances de l'assemblée nationale sont accessibles au public.

Calendrier des séances

• Mardi 21 Juillet à 9h30, 16h et 21h30
• Mercredi 22 Juillet à 9h30, 15h et 21h30
• Jeudi 23 Juillet à 9h30, 15h et 21h30 ?
• Vendredi 24 Juillet à 9h30 ?

Streaming de la séance en direct sur le site de l'Assemblée (Flash)

Le conseil constitutionnel vient de déposséder l'HADOPI de tout pouvoir de sanction. En d'autres termes, l'HADOPI ( Haute Autorité pour la Diffusion des Œuvres et la Protection des Droits sur Internet )  ne peut plus qu'envoyer des mails et des lettres recommandées ( sur le budget de nos impôts !! ) et donner des autocollants "plateforme de téléchargement légal" aux sites qui en feront la demande.

Je ne vous invite pas à lire la décision du conseil constitutionnel. J'ai du mal à croire qu'on puisse soutenir que "chacun doit connaitre la loi" alors que seulement la comprendre serait déja miraculeux.

Maitre Eolas se fit déja plus clair envers les profanes de la langue de loi un propose un décryptage bienvenu. Au pire, les "vrais" journalistes sont là (j'ai pas vu VGE signer la décision du conseil constitutionnel mais si 20minutes le dit...).

Cependant l'HADOPI n'est qu'une bataille, la guerre pour la sauvegarde de notre liberté est loin d'être finie. Le fusible Albanel est périmé ? Sarko est téméraire dans l'écrasement de toute opposition, ce qui passe nécessairement par le contrôle des citoyens. Ce n'est pas pour rien qu'il a écrit directement à Barroso pour supprimer l'amendement 138 du paquet Telecom européen.

L'HADOPI v2.0  va revenir sur le tapis (une réunion de crise autour de Sarko a eu lieu pour relancer le texte ce jeudi), puis la LOPPSI... N'oubliez pas son crédo :  "Si il faut aller plus loin, on ira plus loin"... à n'importe quel prix ?

J'ai envie de stocker mes sauvegardes sur un disque externe en USB en dehors de chez moi (On est jamais trop prudent). Pour éviter la fuite de mes données personnelles, je vais chiffrer mon disque externe avec LUKS/cryptsetup/dm-crypt, la solution de chiffrement de partition intégrée au noyau Linux. Ce didacticiel a été effectué sur une Debian Lenny.

1. Installez les programmes adéquats

# apt-get install cryptsetup

(Redémarrage?)

2. Créez une partition sur votre disque (par exemple avec gparted). Cela sert juste à définir la taille de partition chiffrée.Vérifiez que vous avez bien démonté la partition avant de poursuivre.
3. On va mantenant créer le conteneur de chiffrement de la partition.

# cryptsetup luksFormat /dev/sdb1

WARNING!
========
This will overwrite data on /dev/sdb1 irrevocably.

Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:
Command successful.

4. On ouvre le conteneur.

# cryptsetup luksOpen /dev/sdb1 disqueusb
Enter LUKS passphrase:
key slot 0 unlocked.
Command successful.

5. On formate la partition.

# mkfs.ext3 /dev/mapper/disqueusb

On peut donner un nom à cette partition. Ainsi, le disque externe sera monté toujours au même endroit. Par exemple si je veux qu'il soit monté dans /media/sauvegarde :

# tune2fs -L sauvegarde /dev/mapper/disqueusb

6. On referme le conteneur.

# cryptsetup luksClose disqueusb

Fin de la mise en place du chiffrement, place à l'utilisation :)

7. On débranche/rebranche le disque. Gnome vient nous demander gentiment le mot de passe pour monter le disque :)
   

Le volume est automtiquement monté comme un disque USB classique et se démonte de la même manière : Clic-droit sur l'icone du bureau > Démonter.

Simple, non?

La procédure de création de la partition chiffrée pique encore les yeux pour beaucoup je pense. Une intégration à Gparted ne serait pas un mal :)

Les forces en jeu :

• Les artistes : La majorité d'entre eux ne gagnent pas le SMIC. Une quarantaine d'artistes surmédiatisés trustent les filières de revenus de la culture.
• Les maisons de disque : Conscientes que le CD est obsolete (ca rentre difficilement dans un Ipod....) et qu'ils doivent se convertir à l'Internet, ils se rendent compte trop tard que les internautes se sont organisés (p2p) comme fournisseur de contenu culturel à leur place. Pour retrouver leur monopole, ils doivent rendre le partage de produits culturels illégal. C'est donc uniquement la question du pognon qui les préoccupe.
• l'Etat : Voudrait bien contrôler les échanges personnels des citoyens "libres" qui ne sont pas soumis par le rouleau compresseur des médias (TV, journaux, radio qui sont tous semblables dans le choix des sujets et dans leur traitement proche du copier-collé du communiqué de presse). L'Etat a aussi besoin de sous.
• Les "pirates" : Téléchargeurs de médias (vidéo, audio essentiellement) gratuitement. Ils n'ont pas envie de revenir à l'époque où son budget ne permettait de ne pouvoir écouter que quelques CDs.
• les fournisseurs d'accès (FAI) : Ils se verraient bien en fournisseur de contenu principal (web, telephone, tv, musique, films, etc...) Leur place dans la chaine d'accès aux oeuvres les met en position privilégiée pour récolter l'ensemble des revenus de l'accès au contenu.
• Google : Son but est d'augmenter toujours son public. Chercher dans Google, lire les news sur Google news, lire se mails sur Google news, regarder les vidéos sur Google vidéo (Youtube). Plus Google est indispensable, plus il peut vendre de "temps de cerveau disponible" parce qu'il vous capture sur ses sites.
• Les internautes : Utilisateurs du web, mail, skype, etc... pour le boulot ou utilisation légale à titre personnel. Internet permet un énorme gain de productivité. Ils sont méfiants des effets de bords que peut créer la loi HADOPI.
• La musique libre : Elle a du mal à décoller car la musique des maisons de disque est gratuite, bénéficie d'une plus grande couverture médiatique et attire les artistes les plus désireux de vivre de leur activité dans leur cercle économique.

Si l'HADOPI passe :

• Les artistes : La situation est inchangée. La publicité est focalisée sur quelques "noms" (Star Academie) qui attirent les acheteurs. Toujours aussi dépendants des maisons de disque ils gagnent 4c sur un morceau vendu 1€ dans les magasins "officiels" de la culture imposés.
• Les maisons de disque : Retrouvant leur monopole, ils conservent leur marges.... ou pas. Face aux contraintes trop lourdes de l'accès à la culture par les sites officiels (prix exhorbitant, DRMs, catalogue réduit, procédure d'achat compliquée...) de nouveaux moyens d'accès aux oeuvres plus faciles d'accès (streaming, p2p sécurisé...) sont développés par les "pirates" et la débacle du chiffre d'affaire des ventes d'oeuvre en ligne continue.
• l'Etat : On ne peut pas savoir si le contenu des échanges est illégal ou non sans prendre connaissance des échanges personels. Cela veut dire que l'état vient de mettre en place l'écoute généralisée de tous ses citoyens. Avec la possibilité de couper le sifflet. Comme la preuve de culpabilité par IP n'est pas fiable et que les "pirates" contournent l'HADOPI par des communications chiffrées, l'Etat sort une autre loi qui va fliquer les citoyens de plus près (logiciel mouchard sur la box internet, interdiction du chiffrage, etc...). La loi est aussi étendue à d'autres types d'infraction (censure des manuels de fabrication de bombes, d'incitation à la haine manifestation, etc...). De plus le système d'écoute généralisé permet de détecter plus facilement les citoyens "indésirables" pour le gouvernement.
• Les "pirates" : Ils font ce qu'ils veulent impunément en utilisant un tunnel chiffré vers un proxy à l'étranger, s'échangent des fichiers par des réseaux p2p anonymes et chiffrés, regardent les vidéos en streaming à l'étranger sur des sites biens plus attrayants que les sites de vente officiels. Au pire, quelques "pirates" serviront de fournisseur de contenu sur clé USB dans les cours d'écoles comme à l'époque des premiers graveurs de CDs.
• les fournisseurs d'accès (FAI) : Leur portails de vente de produits culturel obtient un certain succès car simple d'accès (interface accessible depuis la TV, prélèvement sur la facture ADSL). Ils sont en négociation serrée avec les maisons de disque qui ne veulent pas se laisser piquer leur place de fournisseur exclusif du contenu. Ils rentabilisent ainsi les investissements de la fibre optique en vendant beaucoup plus de contenu que le simple web.
• Google : Les vidéos, journaux, livres soumis à copyright sont disponibles sur les sites de Google. Google gagne de l'argent en affichant de la publicité en marge du contenu. Les maisons de disques sont encore menacées sur leur monopole de fournisseur de contenu. Malheureusement, on ne peut pas bannir Google du web français sans faire effondrer un pan de la économie. Les maisons de disques sont donc contraintes se contenter d'une part des revenus publicitaires de Google.
• Les internautes : Des internautes sont inculpés par l'HADOPI et doivent se démêler avec la justice pour que leur outil indispensable de travail ne soit coupé. Pour éviter de tels déboires, ils acceptent de poser un mouchard sur leur connexion les assurant de ne pas être déconnectés. Les accès wifi ne permettent plus que de consulter quelques sites triés par une liste blanche. Cela crée une inégalité gigagntesque entre les sites présents dans cette liste qui concentrent les visites des internautes nomades. D'autre part, le web ne saurait se limiter au minitel et Internet perd alors de sa puissance d'échange et le commerce des entreprises français en patit sérieusement. Ah, et tous les internautes devront payer le coût du filtrage d'Internet.
• La musique libre : Elle se développe comme alternative gratuite (mais pas forcément non rentable cf Google) et légale aux musiques des majors. C'est un des moyens de publicité utilisé par les artistes laissés à la marge des maisons de disque.

Si l'HADOPI ne passe pas, on reste à l'état actuel pour un temps en attendant une véritable réflexion sur le sens du "copyright" à l'ère du numérique pour les oeuvres de l'esprit. Je pense en effet qu'il est dans l'ère du temps de rendre libre le partage de toutes les oeuvres numériques au même titre que le sont les idées.

Il faut aussi désarmorcer des mensonges de la ministre sur la loi actuelle (DADVSI) :

• Lorsque la ministre parle de 3ans de prison et 300'000 € d'amende il s'agit de peines maximum. Ce n'est pas une peine automatique contrairement à l'HADOPI. Les citoyens sont jugés par un tribunal de juges qui définit une peine adaptée. Je voudrais bien voir ses exemples de simple citoyen téléchargeur condammé à 3ans de prison parce qu'il aurait téléchargé Bambi sur Emule.
• La loi Création et Internet (ou HADOPI) n'abroge pas la DADVSI. Les auteurs de logiciels qui permettent de contourner les systèmes de DRMs sont toujours soumis aux plus lourdes sanctions alors mêmes que la pluparts des sites vendant des DRMs sont morts et que les gens cherchent un moyen de conserver la musique qu'ils ont acheté.

Tor est un système de relai des connexions afin de brouiller la trace de votre connexion. Ainsi, la relation "IP relevée = abonné" n'est plus possible.

C'est une preuve évidente que la condammation des personnes ne peut se faire sur simple relevé d'IP. La loi Création et Internet (ou HADOPI) ne sanctionnera donc pas les "pirates" soucieux de se dissimuler aux yeux des radars. Le fait que le gourvernement n'entende pas cet argument et continue d'asséner que l'IP servira de preuve d'inculpation est malheureusement le témoignage que le but du gouvernement est la surveillance et la censure des citoyens. Dans 6 mois, le bilan de la loi montrera que les "vrais pirates" sont toujours impunis. Encouragés par une diminution du piratage auprès des "pirates du dimanche", le controle de l'HADOPI sera étendu afin de contrer des système comme Tor, ce qui aura surtout pour effet de bord de contôler encore plus près des gens leur activité sur Internet, c'est à dire suivre précisement, ce qu'ils regardent, pensent et écrivent. Les "pirates" seront déja ailleurs...

Installation sur Debian

# apt-get install tor

Cela installera tor et privoxy
On va rajouter la règle qui va bien au fichier de configuration de privoxy

# echo "forward-socks4a / localhost:9050 ." >> /etc/privoxy/config
# /etc/init.d/privoxy restart

(N'oubliez pas le point à la fin de a règle.)

Tor n'est pas fait pour le P2P. Il est plus adapté à la consultation de sites web.

Pour brouiller son IP lors de la navigation Internet, on peut utiliser Firefox et son TorButton. Cette solution couplée à privoxy a l'intérêt de masquer vos requetes DNS ainsi que les infos sur votre machine (navigateur, OS...). Vous pouvez vérifier que tout marche en consultant la page de test de Tor ou encore la page de démonstration des traces laissées par votre connexion internet sur le site de la CNIL.

Pour garder son anonymat il vaut mieux désactiver tous le plugins (Flash, Java, etc...) ainsi que les cookies et les scripts (Javascript) qui pourraient réveler votre véritable IP. Attention aussi aux sites en SSL (https) car dans ce cas le proxy ne pourra nettoyer les éléments envoyés par votre navigateur.

Aller plus loin

L'installation par défaut ne fait de vous qu'un client du réseau Tor. C'est à dire que vous n'acheminez pas les connexions des autres utilisateurs. Vous ne risquez donc rien mais vous ne contribuez pas aux performances du réseau non plus. Voici la marche à suivre pour devenir un relai. Sachez tout d'abord que l'on peut paramétrer quels flux (ports) on autorise en sortie et que même en étant simplement relais interne du réseau Tor vous contribuerez à améliorer sa vitesse.

Donc on edite le fichier /etc/tor/torrc et on y place ces lignes :

Nickname Torproxy
RelayBandwidthRate 20KBytes
ORPort 9001
ExitPolicy reject *:*

Et on relance le service bien sur:

# /etc/init.d/tor restart

Si vous avez 1h30 devant vous, je vous propose de prendre conscience du projet de loi HADOPI par vous-même. Cette vidéo consiste en la présentation du projet par Christine Albanel (Ministre de la culture) en personne. Elle comprend aussi les critiques et inquiétudes soulevées par les députés. A vous de juger...

Vous pouvez télécharger le film complet au format Ogg Theora ou le regarder en streaming sur le site de la Quadrature du Net.

Cette loi est prévue pour être débattue à l'assemblée nationale dès le 4 mars pour une mise en place avant l'été 2009.

PS: si vous savez comment insérer le lecteur Itheora dans Wordpress ca m'intéresse...

Sarkozy a dit récemment vouloir filtrer Internet et les principaux fournisseurs d'accès Internet : Bouygues, Orange, SFR ont tout de suite fait savoir leur condescendance avant meme qu'un projet de loi soit avancé devant le parlement... La cour aux pieds du roi.

Prétexte avancé : Le filtrage d'Internet servira à filtrer les sites pédophiles et seulement eux. Une belle fausse-bonne idée.
Explications :

Ca fait plus de 10 ans que je parcours le net sur pleins de sujets et jamais je ne suis tombé sur un site pédophile. Une recherche sur les moteurs de recherche pendant 1/4 d'heure ne m'a rien donné non plus. Donc déja, je ne vois pas le risque pour les enfants et autres citoyens sensibles de tomber sur ces sites. Deux raisons à cela :
- La pédophilie étant interdite par la loi, les sites pédophiles découverts sont poursuivis par la justice. En conséquence, les pédophiles se cachent.
- Deuxièmement, des filtres existent déja sur le contenu du web. Par exemple les recherches sur Google sont filtrées par défaut (SafeSearch) pour ne pas montrer d'images et sites XXX. Des filtres de "controle parental" vous sont déja proposés par votre fournisseur d'accès. La particularité de ces filtrages est qu'ils sont de votre volonté, optionnels et par là désactvables par vous-même !

Donc, les pédophiles agissent cachés et ne sont dors et déja plus présents sur le web "visible". Il est en effet très facile de "cacher des informations" ce qui est simplement synonyme de "rendre des informations confidentielles". Prenons l'exemple du site web de votre banque. Vous entrez un login/mdp et vous accédez à un espace web chiffré dont aucun filtrage internet ne peut connaitre le contenu (encore heureux). Cela vous protège afin que tous les ordinateurs qui servent de relai à votre connexion internet n'aient pas accès à ces informations.

Faire un site web sécurisé échappant à tout filtrage automatique est très facile et couramment utilisé par tous les sites de vente en ligne, les sites de partage d'infos confifentielles (facebook, gmail...). Pour faire simple toutes les adresses web commençant "https" le sont.

De plus, le contournement du filtrage est très simple. Il faut savoir que même filtré les sites webs restent accessibles via des "proxy". Exemple. En plus, ça rend anonyme la connexion au site pédophile....

Enfin, vous pensez vraiment que ce filtrage restera contraint à la pédophilie? De nombreux exemples récents sont là pour nous prouver le contraire. Le prélèvement ADN, limité aux crimes sexuels en 1998 est désormais étendu à presque tous les délits (exceptés la délinquance financière). Les lois d'exceptions sur le terrorisme (2001, World trade center) sont toujours en place !

Donc ce filtrage ne sert pas à faire place net aux sites pédopholiques.
- Les sites pédophiles vivent déja en dehors du web visible.
- Le filtrage automatisé prévu est facilement contournable (3 clics, super compliqué !!!)
- Un site pédophile fermé ne rend pas les pédophiles qui le consultaient moins dangeureux, C'est pourquoi c'est l'affaire de la justice de traquer non les sites mais les personnes.
- Si ce filtrage est évidemment si inefficace, qu'il coute 70 millions d'€ par an, quel est véritablement l'intérêt visé à votre avis....?