Tuxicoman

Si vous voulez rire un petit peu sur les fuites de notre gouvernement, pas besoin de chercher bien bien loin :

http://www.google.fr/search?hl=fr&q=filetype:pdf+inurl:gouv.fr+%22ne+pas+diffuser%22&qscrl=1

Rom1v a récemment mis le doigt sur un problème actuel de la sécurité sous GNU/Linux : Une application utilisateur peut très facilement enregistrer toutes les frappes clavier de l'utilisateur effectuées dans le serveur graphique X.

Cela prose de graves problèmes de sécurité car une application malveillante peut récupérer de nombreuses informations confidentielles dont :

• le mot de passe root lorsque sa demande est effectuée lors d'un "su" dans un terminal graphique ou dans un popup.
• les mots de passe demandées par toutes les applications graphiques (clé GPG, navigateur web...)
• les données que vous souhaiteriez transmettre de manière confidentielles (n° de carte bancaire dans une page web, rédaction d'un email professionnel, etc...)

Il semblerait même possible defaire des captures d'écran (Ex: Pykeylogger).

Bref, une application ayant accès au serveur graphique peut écouter tout ce que tape l'utilisateur et ce qu'il voit sur son écran, et ce sans nécessiter de droits root.

La plupart d'entre nous sont conscients que les applications lancées par l'utilisateur ont en principe accès à toutes nos données personnelles (/home/user) et un accès réseau complet (d'où les firewalls applicatifs sous Windows pour contrôler un peu mieux cela).

Les gestionnaires de fenêtres des applications nous font croire que les applications sont isolées (plusieurs fenêtres qui ne semblent pas communiquer entre elles, gestion du focus de l'application "active", étant la seule avec laquelle on peut interagir, popup sur écran grisé lors de la demande du password root faisant penser un un mode sécurisé) alors qu'il n'en est rien.

Il semble donc que la sécurité sous linux avec le serveur graphique X suppose que l'utilisateur ne lance pas par lui-même de logiciel malveillant (spyware, malware). Dans le cas contraire, il semble aisé de devenir root et de compromettre l'installation dans les cas où l'utilisateur se sert de son interface graphique pour gérer son ordinateur (gestionnaires d'applications Synaptic et mises à jours par exemple), ce qui est le cas dans la majorité des utilisations GNU/Linux en tant que bureau personnel.

Cela suppose-t-il de n'utiliser que des applications open-sources ? Ce n'est malheureusement pas le cas général et que penser de la vague d' "applis web" qui a accès à de plus en plus de fonctionnalités sur l'ordinateur de l'utilisateur?

Apple semble prendre le problème de la sécurité entre applications au sérieux et vient d'annoncer que les applications distribuées par le Mac App Store seront "sandboxées" ou isolées de manière assez fortes les unes des autres (accès aux fichiers, réseau ainsi qu'aux autres applications par une API contrôlée). Cela impose néanmoins de fortes contraintes d'usage...

Wayland, qui semble être prédestiné à remplacer X, apporte-t-il une réponse à cette problématique ?

Cette vidéo montre comment maquiller facilement le nom et l'extension d'un fichier sous Windows 7, Vista et Linux grâce à leur gestion de l'unicode.

En effet, certains caractères unicode permettent d'inverser visuellement la séquence de lettres qui suit le caractère spécial (u+202E). Par exemple, imaginons que "|" représente le caractère spécial unicode : un fichier nommé "compl|3pm.exe" sera vu comme "complexe.mp3".

Cette astuce est aussi valable sous Linux . Pour rentrer un caractère unicode, faites ctrl-shift-u. Relachez le tout. Tapez le code du caractère ("202e" dans notre cas) et appuyez sur la touche "enter" pour valider. Regardez la page wikipedia pour savoir comment rentrer un caractère unicode pour plus d'info.

Sous Linux, c'est juste marrant car le système ne se base pas sur l'extension de fichier pour choisir comment traiter le fichier quand on clique dessus mais sur le type MIME contenu dans le fichier. L'extension est purement cosmétique et conventionnelle.

Sous Windows, c'est une autre histoire, puisque c'est l'extension qui décide du type de fichier...  Si vous vous amusez à maquiller un .exe en .mp3 et qu'en plus, l'icône de l'exécutable ressemble à s'y méprendre à celui des fichiers audio, il y a de fortes chances que l'utilisateur lambda va cliquer dessus et exécuter le programme à l'insu de son plein gré.

Amusez vous bien.

Le petit cadenas que l'on aperçoit dans notre navigateur pour nous indiquer une connexion sécurisée (ex: lors de l'envoi de numéros de carte bleue) n'est plus un gage de sécurité. Ce système de sécurité aussi appelé HTTPS ou SSL, se base sur des autorités de certification reconnues pour s'assurer que vous transmettez bien vos informations aux bons destinataires. Or, plusieurs affaires récentes en Iran et en Tunisie ont montré que ces autorités peuvent être abusées ou corrompues afin de détourner votre traffic ou vous espionner.

Cet article du journal Le Monde explique la problématique en détail.

Actuellement, Facebook est le plus grand des réseaux sociaux. Si il a su séduire par sa facilité d'accès, il surprend toujours quand à la légèreté avec laquelle il laisse fuiter la vie privée de ses utilisateurs.

Facebook, et Google encore plus, ont un modèle économique basé sur la collecte et la revente des infos personnelles des gens. Ne comptez donc pas sur eux pour résoudre le problème.

En face, on a :

• des copies en version serveur : Diaspora, Jappix, Movim, etc...
• de copies décentralisées : Peerscape
• des logiciels de P2P : Retroshare

Aucune de ces solutions ne semble émerger car elles disposent d'handicaps techniques.

Le problème des versions avec serveur, c'est qu'il faut un geek dans l'histoire qui gère le serveur et dispose dispose d'un pc allumé 24/24. De plus, de part sa position centrale, il a accès aux données de tous les utilisateurs de son service. (Cette critique est aussi valable pour le réseau de messagerie Jabber)

Le problème des versions P2P, c'est que lorsque l'on est déconnecté, nos amis ne peuvent plus nous joindre, ni laisser de message. Il y a bien l'astuce de faire de stocker une copie de nos données chez nos amis pour espérer toujours avoir une copie en ligne, mais c'est une hypothèse purement statistique. Comment retrouver ses amis si chacun change d'ip à tour de bras (maison, smartphone, bureau, etc..)? Que faire si le pare-feu du bureau ne laisse pas passer les connexions entrantes?

Cependant, j'aime bien le principe de Retroshare. L'utilisation du chiffrement des données entre l'expéditeur et le destinataire par clés asymétriques (GPG) permet de ne plus avoir besoin ni de contrôler l'accès aux données ni de sécuriser leur transmission.

Mon idée est d'améliorer le principe de Retroshare en ajoutant un "cache" chiffré de nos données personnelles sur un espace de stockage accessible 24/24 par le net (p2p, serveur ftp d'un copain, espace perso Free, autohébergement, etc...).

Exemple, avec Paul et Sarah.

Paul a un logiciel de réseau social sur son Macbook. Il ajoute ses photos de vacances à la mer avec Sarah dans le portfolio "Amis". Cette action envoie ses photos sur un espace de stockage sur le net. Paul se déconnecte.

Sarah allume son téléphone ou elle a un logiciel de réseau social. Elle fait partie des amis de Paul. De ce fait, son logiciel sait où Paul stocke ses données de réseau social sur le net. (il peut y avoir une redondance des données sur plusieurs espaces d'ailleurs). Le logiciel va regarder si il y a des nouveautés dans l'espace de Paul et trouve un nouveau fichier. Ce fichier est chiffré et seuls les détenteurs de la clé de déchiffrement "amis de Paul" peuvent la lire. Ca tombe bien, Sarah possède cette clé. Sarah télécharge donc le nouveau fichier et peut accéder aux photos de ses vacances à la mer avec Paul.

Rien n'empêche Sarah de partager la clé de déchifrement "amis de Paul" avec d'autres amis, Paul risque de ne pas être content si les amis de Sarah arrivent à voir ses photos. Néanmoins à partir du moment où Sarah peut voir les photos de Paul depuis son propre terminal, rien ne l'empêche de les rediffuser... Est-ce donc un risque intrinsèque au mode de fonctionnement des réseaux sociaux actuels?

La clé de déchiffrement "amis de Paul" a été transmise à Sarah par un moyen sécurisé. Chaque personne possède un couple de clé asymétrique type GPG. Des couples de clés aymétriques supplémentaires similaires sont créés pour les groupes/cercles de partage.

Un fichier "Index" est disponible sur l'espace de stockage des profils, celui ci indique où son rangés les fichiers du profil, quelle clé est nécessaire pour les déchiffrer. Ce fichier, permet de suivre l'arrivée de nouveaux éléments sur le profil de ses amis à la manière d'un flux RSS.

Un autre fichier "Présence" indique où se trouve les copies redondantes des données du profil. Ca peut être utile de savoir cela, si par exemple, l'espace de stockage est temporaire. Ce fichier indique aussi si l'utilisateur est en ligne, avec "l'adresse IP" pour le joindre. De cette manière si deux utilisateurs sont en ligne, des fonctions temps-réel peuvent être utilisées comme de la messagerie instantanée, voip, etc....

Les fichiers Index, Présence, etc... sont chiffrés avec la clé privée de Paul. Cela garantit à Sarah qu'ils n'ont pas été altérés par une tierce personne.

La sécurité des données est basée sur le chiffrement, or celui ci est seulement une protection de durée. Je veux dire par là qu'il est peut-être raisonnable de dire que dans 50 ans on pourra casser facilement les méthodes de chiffrement actuels (ordinateurs quantiques, failles dans l'algorithme...). Dès lors il peut être utile de rajouter une petite protection d'accès aux données chiffrées (password, clé d'accès au répertoire, adresse de stockage secrète) en plus du chiffrement des données afin d'éviter que trop de malins s'amusent à archiver les données chiffrées contenant la vie privée des personnalités en espérant les déchiffrer plus tard.

Je me suis toujours demandé si les cartes de paiement étaient sûres et quel était le taux de fraude du système.

J'ai trouvé des infos sur l'Observatoire de la Sécurité des Cartes de Paiement. Une étude statistique sur l'année 2010 a été effectuée à partir des données de nombreux organismes de paiement. Je vous en résume la lecture :

• La fraude représente 0.07% des transactions en France soit 370 millions d'euros en 2010 sur les 453 milliards d'euros de transactions pris en compte dans l'étude.
• Le préjudice de la fraude est supporté à ~50 % par les commerçants, ~40% par les emetteurs de cartes, et ~10% par les porteurs de cartes d'après les chiffres de 2009
• Pour frauder, les principales techniques utilisées sont la copie des informations figurant sur la carte  (60% des cas) ou directement le vol de la carte (35% des cas). La copie des informations de la carte peut se faire par simple copie visuelle des 2 faces la cartes mais aussi par lecture de la bande magnétique ("skimming"). Celle-ci contient toutes les informations de la carte (numéros, nom, date d'expiration, etc...) excepté le code de sécurité indiqué au dos de la carte.
• Les fraudeurs, enFrance,  utilisent ensuite la plupart du temps le paiement à distance (internet, courrier/téléphone) pour se servir dans les comptes bancaires.

En 2010, la police fait état de 527 piratages de distributeurs automatiques de billets et de 235 personnes interpellées pour fraude à la carte bancaire.

Lors d'une conférence à Pas Sage en Seine 2011, Okhin fait la promotion de GPG pour garder ses échanges de mail privés. Je pense c'est un mauvais système et je vais expliquer pourquoi.

1. GPG dans son implémentation actuelle pour les mails ne chiffre que le contenu du message mais aucunement l' expéditeur ni l'objet du mail. L'objet, si on veut un tant soit peu classer ses mails représente le résumé ou le sujet du message. Confidentialité : raté
2. L'expéditeur est composé de l'identité et de l'adresse mail de celui qui envoie le message. C'est aussi sur ce critère que le logiciel va choisir la clé de déchiffrement du message. Ce champ apparait aussi en clair. Anonymat : raté

En sachant cela, on peut toujours envoyer des mails par un proxy sous l'identité XYZ et l'objet BABAR mais je doute que cela permette d'utiliser le système d'email dans des conditions raisonnables.

Il n'y a pas de petits profits.

Les tutoriels, ce n'est pas nouveau. CCM et le Site du Zéro en font depuis de nombreuse années. Des tonnes.

Comment faire du fric rapidement ? Simple ! Publiez des tutoriels assaisonnés d'adware/spyware ! C'est facile et pas très fatiguant:

• Écrivez quelques tutoriels (c'est à la portée de beaucoup de monde)
• Allez chercher quelques éditeurs d'adware et spywares (eoRezo et autres).
• Mélangez, secouez
• Profitez !

C'est le modèle de Tuto4pc. Et le PDG trouve que ce business-modèle est "innovant". Woao... des spywares dans des tutoriels, putain, c'est révolutionnaire. Ça vaut bien l'introduction en bourse.

Attendez, le plus beau c'est le contrat d'utilisation (J'espère que vous avez l'anus en béton armé pour consulter ces tutoriels):

LES INFORMATIONS COMMUNIQUEES PAR LES UTILISATEURS SERONT CONSERVEES DANS UN FICHIER INFORMATISE APPARTENANT A LA SOCIETE TUTO4PC ET SONT SUSCEPTIBLES D'ETRE COMMUNIQUEES AUX PARTENAIRES COMMERCIAUX DE TUTO4PC, ET/OU A TOUT TIERS

Donc toutes les infos que vous donnez à tuto4pc seront vendus à d'autres entreprises. Attendez, ce n'est pas fini:

L’UTILISATEUR ACCEPTE DE RECEVOIR DE L'TUTO4PC ET/OU DE SES PARTENAIRES DES OFFRES COMMERCIALES SUR SON TELEPHONE PORTABLE PAR SMS OU MMS.

Vous allez donc être pourri de SMS de publicité.

Les dits composants peuvent faire apparaître, sur l'écran de l'Utilisateur, des messages publicitaires ou autres informations de la part d'TUTO4PC ou d’annonceurs tiers

Votre PC aussi.

L’Utilisateur accepte que les services proposés par TUTO4PC associés aux logiciels téléchargés et en particulier les Logiciels TUTO4PC, puissent modifier les paramètres de navigateur WEB (bookmark, page d'accueil, onglet).

En prime, ils vont détourner la page d'accueil de votre navigateur (avec lo.st), bidouiller vos bookmarks et onglets.

TUTO4PC peut être amené à recueillir des informations concernant les adresses des sites internet préalablement visités par l'internaute.

Ils vont piocher allègrement dans votre historique de navigation.

L'Utilisateur autorise les mises à jour et/ou les installations automatiques des Logiciels TUTO4PC et de tout logiciel de sociétés tierces accessibles par l'intermédiaire de TUTO4PC.

Autrement dit TUTO4PC vend votre PC à d'autres sociétés qui pourront installer ce qu'elles veulent dessus. Installez un tutoriel, et vendez votre âme.

Les dits composants restent actifs à tout moment afin de contrôler et d'assurer la fourniture du service de TUTO4PC, et d'autres fonctions telles que celles décrites dans le présent paragraphe.

D'autres fonctions "telles que", mais pas que celles-là ? Lesquelles ?

La responsabilité vis-à-vis de l'utilisateur en matière d'utilisation ou d'utilisation incorrecte des Logiciels TUTO4PC ou d'un logiciel de société tierce accessible par l'intermédiaire des Logiciels TUTO4PC ne saurait en aucun cas être attribuée à TUTO4PC ou à ladite société tierce.
[...]
TUTO4PC et toute société tierce permettant l'accès à son logiciel par l'intermédiaire des Logiciels TUTO4PC n'acceptent aucune responsabilité en ce qui concerne les dommages susceptibles de résulter du téléchargement et/ou de l'utilisation des Logiciels TUTO4PC et/ou de tout logiciel de société tierce accessible par l'intermédiaire des Logiciels TUTO4PC.

Traduction: Si les logiciels installés par Tuto4PC ou ses partenaires vont foutre la merde sur internet, c'est pour votre gueule, c'est vous le responsable.

La société TUTO4PC tranchera souverainement tout litige relatif à l'interprétation du présent règlement. Il ne sera répondu à aucune demande téléphonique concernant l'interprétation ou application du présent règlement.

Une question sur le contrat ? Une contestation ? Allez vous faire foutre. C'est nous qu'on dit comment ça se passe.
Tout ça... pour des tutoriels ? Ils se foutent de notre gueule ?

J'ai regardé le tutoriel Photoshop sur le château dans les nuages, ça ne casse pas 3 pattes à un canard. C'est un bête masque entre deux images.

Franck ROSSET, Président Directeur Général... de quoi ? La société Tuto4PC mentionnée dans le contrat précédent n'existe pas. TutoGroup non plus. Aucune trace dans le registre des sociétés françaises (ou alors j'ai mal cherché). D'ailleurs il n'y a aucun numéro de SIRET sur leur site web. En grattant un peu, on voit que le domaine est domicilié au 14 rue Lincoln, 75008 Paris. Et devinez qui on trouve à la même adresse ? eoRezo, grand pourvoyeur d'adware/spyware ! En fait, tuto4pc n'est qu'un prétexte: C'est qu'une nouvelle voie que cherche eoRezo pour atteindre plus d'ordinateurs. Ils le disent eux-même.
Quand je vois tout le travail fait sur CCM, le SDZ ou les dizaines d'autres sites communautaires depuis plus de 10 ans et les tonnes de tutoriels gratuits sans contrepartie, le modèle économique de tuto4pc me fait gerber. Non pas que je reproche aux gens de gagner de l'argent en écrivant des tutoriels. Pas du tout. Mais carotter l'ordinateur des internautes avec des spyware et piller leur vie privée pour gagner de l'argent, ça c'est minable.

Maintenant on pourra rétorquer que les internautes qui installent ces merdes ont accepté le contrat d'utilisation en toute connaissance de cause, mais personne n'est dupe.

Et non, ce n'est PAS INNOVANT.
(Un grand Merci à Ludovic pour m'avoir donné l'info.)

Cet article a été écrit par Seb Sauvage qui a du le retirer de son site web suite à des pressions financières de la part de société incriminée. Malheureusement, c'était méconnaître l'effet Flamby. L'article est sous licence CC-BY Seb Sauvage / http://sebsauvage.net

Voici une émission sur les hackers diffusée sur Arte le 7 juin 2011.

Vous pouvez aussi la voir en streaming sur le site d'Arte ou télécharger directement le film en intégralité

Vous utilisez Firefox et désirez naviguer en HTTPS sur des sites de particuliers. Pour ne pas payer xxx € pour fournir du HTTPS, ces particuliers utilisent l'autorité de certification CACERT, non incluse par défaut dans Firefox.

Pour ne plus être ennuyé par les annonces de certificats douteux, suivez le guide :

Version simple et rapide :

Cliquer ici et là, et encore là et cocher toutes les cases.

Version explicative :

Allez lire la documentation  sur http://wiki.cacert.org/BrowserClients