Aide à une noob par reverse SSH

Imaginons que Alice veuille se faire dépanner par Bob.

Problème, Bob ne peut pas se connecter directement à l’ordinateur d’Alice à cause d’un routeur NAT (une box ADSL, un réseau d’entreprise, un réseau wifi public, etc…).

Il existe un moyen assez simple pour Alice de se faire dépanner grâce à SSH.

Bob a un peu de travail avant

Bob va créer sur sa machine un utilisateur aux droits très restreints. Alice va utiliser celui-ci pour faire un tunnel inversé. On commence par la création du nouvel utilisateur dénommé « help » :

# adduser help

Donnez un mot de passe qui pourra être communiqué à Alice.

Dans /etc/ssh/sshd_config faites un règle spéciale pour cet utilisateur :

Match User help
   #AllowTcpForwarding yes
   X11Forwarding no
   PermitTunnel no
   GatewayPorts no
   AllowAgentForwarding no
   PermitOpen localhost:60000
   ForceCommand echo 'Only reverse port forwarding allowed'

En gros, l’utilisateur ne peut qu’écouter sur le port 60000 local.

Pour Alice, c’est simple, une ligne suffit

Alice doit ouvrir le terminal et copier-coller ceci en remplacant l’IP de Bob:

$ ssh -R 60000:localhost:22 help@ip_de_bob

L’empreinte de la clé publique de la machine de Bob sera présentée. Tapez « yes ».

Le mot de passe à entrer est donné par Bob, c’est celui de l’utilisateur « help » que Bob a créé chez lui. Note pour Alice : le mot de passe ne s’affiche pas quand on le tape, c’est normal :)

Voila. c’est fini pour Alice. Simple !

Prise de contrôle

Bob peut ensuite se connecter à l’ordinateur d’Alice, sous le compte d’Alice avec le mot de passe d’Alice :

$ ssh -p 60000 alice@localhost

Critique

Cette technique est une alternative à Teamviewer pour Linux et Mac. Elle permet notamment d’avoir un accès confortable au terminal à distance et aux possibilités évoluées de SSH par la suite (partage de fichier par SFTP, redirection de port, proxy SOCKS pour naviguer sur le réseau local, VNC sécurisé, etc…).

Au début, je me suis dit que j’allais enfin tordre le cou au « man in the middle » de Teamviewer. Mais en réalité, il y a pas mal de failles de sécurité dans la mise en place de ce processus tant qu’on veut le garder simple pour Alice.

Premièrement, Alice doit donner son mot de passe de session à Bob ainsi qu’un accès complet à ses fichiers pour se faire aider… De plus, elle n’aura aucun contrôle sur ce que fera Bob avec cet accès. Donc il faut une grande confiance dans Bob.

Ensuite, par quel canal est transmis la commande à taper? le mot de passe d’Alice? Comment est vérifiée l’authentification de la machine de Bob par Alice?

Il y a peut être moyen de wrapper tout ça dans un utilitaire avec une double authentification et une interface graphique qui affiche sur l’écran d’Alice un suivi en temps réel des commandes effectuées par Bob, des fichiers transférés… le tout sans nécessiter le mot de passe de session d’Alice. Mais ce sera peut être moins flexible pour Bob… (auto-complétion, sshfs, etc..)

J'aime(2)Ferme-la !(0)

Mise à jour Flash player

Des vulnérabilités ont récemment été corrigées dans le plugin Adobe Flash Player. Si vous l’utilisez sous Linux, vous devez rapidement le mettre à jour à la version 11.2.202.451

Comme la mise à jour de ce plugin ne se fait pas automatiquement, je vous renvoie vers la procédure pour mettre à jour le plugin Flash sous Debian.

Je vous conseille également de profiter de cette occasion pour essayer de ne plus l’utiliser : bloquage du plugin dans le navigateur et si vous ne rencontrez pas de problème -> désinstallation du paquet flashplugin-nonfree. Youtube utilise HTML5 pour la majorité de ses vidéos désormais.

J'aime(2)Ferme-la !(0)

Big data sur les données des opérateurs télécom

Un étude récente montre que 90% des adultes ont un téléphone mobile aux USA.

Lors de chaque communication (sms, appel, data, etc…). L’opérateur peut déterminer la position du téléphone à position à 250m près dans 90% des cas.

Si on enregistre et stocke ces données, on se retrouve avec de quoi analyser une population. Conscient de la valeur de ces données, les opérateurs de téléphonie mobiles se sont mis à les vendre (sans vous demander votre accord explicite ni vous donner un centime bien sûr)

En France

Par exemple, Orange vends un produit nommé Flux Vision qui revends les données de ses utilisateurs sous formes de données « statistiques », je cite leur page web :

des domaines d’activités multiples
Acteur public ou privé, vous bénéficiez d’une nouvelle source d’information pour améliorer votre connaissance des parcours citoyens ou parcours clients, des mobilités géographiques et de l’utilisation de vos infrastructures.

Dans le secteur du tourisme, Flux Vision vous permet par exemple de connaître les déplacements des visiteurs et la fréquentation des différents sites … Dans le secteur du transport, vous observez  les parcours des voyageurs pour mieux adapter vos infrastructures. Dans le secteur marchand, vous étudiez plus finement les itinéraires empruntés par vos clients sur votre zone de chalandise pour adapter votre stratégie commerciale.

une protection des données et un respect de la vie privée
L’offre repose sur des procédés exclusifs d’anonymisation irréversible développés par Orange permettant de supprimer toute possibilité d’identifier ses clients. Ils peuvent transformer des millions de données par minute en indicateurs statistiques. Son développement a fait l’objet d’échanges avec les services de la CNIL. Flux Vision s’inscrit dans le respect des engagements pris par Orange en matière de protection des données personnelles de ses clients.

 

On ne saura pas plus sur les procédés d’anonymisation que le « en conformité avec les avis et recommandations de la CNIL ». Pourtant, c’est le point le plus intéressant. J’imagine que ce que qui intéressent les clients sont les données « locales ». Le traffic de telle route, tel quartier, etc… Jusqu’où s’arrête la précision géographique?

Aux états Unis

AirSage est un société agréée à pouvoir accéder aux données des opérateurs de téléphonies. Ils reçoivent 15 milliards de positions par jour !

La aussi, c’est du temps réel avec historique . AirSage indique pouvoir donner la position en temps réel des téléphones dans quasiment toutes les villes majeures des USA.

On nous promet juré craché que les données son anonymisées avant analyse, mais sans dire comment. Alors que c’est ce qui est intéressant. Que sait-on sur chaque mesure de localisation? Car apparemment d’après les quelques exemples de rapport, on sait leur provenance (assez précis, à l’intérieur d’un état), leur historique, le revenu personnel de leur porteur, où ils habitent, à quelle heure ils partent de chez eux, à quelle heure ils rentrent, etc…

Et dans le même temps, on met l’accent sur le fait que les données sont bien gardées et les personnes qui y ont accès sont triées sur le volet. Ah ben mince, je croyais que les données étaient anonymisées, pourquoi donc est ce crucial qu’elles soient si bien éloignées du regard?

Et les gouvernements?

Comment imaginer que les gouvernements ne s’intéressent pas aussi à ces données servies sur un plateau. Si une start-up peut collecter, traiter et stocker 15 milliards de données par jour, on peut facilement imaginer qu’un gouvernement avec un budget de plusieurs milliards de dollars comme la NSA peut faire de même les mains dans le dos.

La France serait aussi bien placée à ce jeu étant donné qu’Orange a ses antennes implantées dans beaucoup de pays du monde.

J'aime(3)Ferme-la !(0)

Les Etats Unis volent les clés de chiffrement des cartes SIM

Vous n’avez sans doute pas pu échapper à la nouvelle fracassante de cette semaine. The Intercept affirme, documents de Snowden à l’appui, que les USA et l’Angleterre ont infiltré Gemalto, principal producteur de carte SIM, pour voler les clés de chiffrement des dites cartes afin de pouvoir déchiffrer les communications téléphoniques des smartphones par simple écoute passive, sans se faire repérer.

C’était en 2010. Depuis lors, les antennes sur les ambassades américaines peuvent donc déchiffrer tout le trafic de l’Elysée et du Bundestag en toute tranquillité, sans se faire pincer. C’est beau, c’est propre. Si ils possèdent aussi les antennes espions découvertes près des gouvernements de Norvège, Suède et Finlande, c’est bingo. Avec des amis comme ça, on a pas besoin d’ennemis. Et puis nos gouvernements nous le ressassent sans cesse, si vous n’avez rien à cacher, vous n’avez rien à craindre de l’espionnage de votre vie privée.

Pour arriver à s’infiltrer chez Gemalto, dont ils disent avoir pris le contrôle complet de l’infrastructure informatique, les USA et l’Angleterre ont espionné les employés de la société (comptes e-mail, compte facebook, etc…). Les chefs des gouvernements US et anglais ont donc menti lors qu’ils juraient qu’ils n’espionnaient activement que les terroristes. Ici, on est bien venu manger dans la gamelle de citoyens qui n’avaient rien à se reprocher. Et pour se permettre ensuite de faire de l’espionnage de masse. Les services d’espionnage gouvernementaux s’octroient tous les droits.

Aucun démenti des Etats-Unis, motus et bouche cousue du gouvernement français. Ça laisse songeur sur comment la France protège ses citoyens…

Lorsque les USA proclament, gratuitement sans aucun document à montrer, que la Corée du Nord serait l’auteur du piratage de Sony, ils sanctionnent les personnalités du gouvernement de Corée. Pourquoi il ne se passe rien pour mille fois plus grave?

Si vous lisez l’anglais, je vous invite à lire intégralement l’article original de TheIntercept, c’est vraiment édifiant d’en être arrivé là. Que doit-on supporter de plus de la part des gouvernements soit disant « gentils » et qui présentent de plus en plus les caractéristiques des états totalitaires? A quel moment doit-on s’élever? Car que l’on ne s’y trompe pas, les états totalitaires ne se présentent jamais comme tels. Elle se donnent des noms bien gentillets comme République démocratique du Congo, de Chine ou de Corée(du Nord).

J'aime(3)Ferme-la !(0)

Fausses antennes GSM pour espionner les gouvernements européens

Triple-scandale en Norvège, en Suède et en Finlande: En mesurant le trafic numérique dans les quartier gouvernementaux les journalistes ont découvert au moins six fausses stations de téléphonie mobile (IMSI catcher) installées pour intercepter les conversations téléphoniques, suivre les déplacements des détenteurs de téléphones portables et télécharger leurs données.

L’avis des experts et des journalistes des trois pays divergent quant à l’origine de ces fausses bases de réception dans les quartiers gouvernementaux des trois capitales: les USA ou la police locale sont les plus plausibles.

Source La voix de la Russie

Pendant ce temps, à Paris, à deux pas de l’Elysée, l’ambassade américaine a elle aussi son antenne espion GSM. et la NSA ne s’est pas privée d’espionner de fond en comble l’ambassade française aux USA (à lire !)

J'aime(3)Ferme-la !(0)

Mac OS X Yosemite récolte vos données en douce

Lorsque l’utilisateur fait une simple recherche dans Spotlight (le moteur de recherche de fichiers de votre ordinateur) ou Safari (le navigateur web), Mac OS Yosemite envoie ces informations à Apple :

  • votre position géographique
  • le type de matériel que vous utilisez
  • les mots recherchés
  • la langue de votre session
  • la liste des applications utilisées récemment
  • la liste des applications en cours

Effrayant de découvrir cela sans que l’utilisateur n’en soit averti.

Tout cela est fait pour vous donner de meilleurs résultats de recherche. Par exemple, des résultats dans votre langue et proche de chez vous. Mais il aurait été plus élégant de demander son avis à l’utilisateur avant !


Dans le même esprit, lorsque vous commencez un nouveau document dans les applications compatibles iCloud, (éditeur de texte, Page, etc…) le contenu de votre document est envoyé en permanence sur iCloud en attendant que vous le sauviez sur votre disque dur. En d’autre termes, vous ne pouvez pas perdre votre brouillon puisqu’Apple en a une copie. Cela bien sûr pour votre bien (oubli de sauvegarder, ou continuation de l’écriture du document sur un autre appareil) mais là encore, aucun avertissement des utilisateurs qui ne peuvent s’assurer que leur document reste confidentiel sur leur machine.

Le business d’Apple n’est pas à première vue basé sur l’exploitation de vos données personnelles (contrairement à Google ou Ubuntu avec son partenariat avec Amazon). Néanmoins, l’effet est le même à savoir qu’il est de plus en plus difficile de garder vos données privées. Car une fois sorties de chez vous, qui sait où vos données vont atterrir et qui pourra y avoir accès. Les stars d’Hollywood l’ont déja appris à leur dépend (attention images XXX choquantes)

Source LifeHacker

J'aime(4)Ferme-la !(0)

Liberté, éga… oups!

libertéfrancaisEncore un sondage de merde. Pour y répondre pertinemment il faudrait déjà savoir qu’est ce qu’une mesure d’exception? C’est une mesure exceptionnelle, dans le temps? par les règles constitutionnelles qu’elle enfreint? Quelle est l’avantage promis en échange?

Tout ce qu’on sait c’est ce que les Français sont prêts à perdre pour un mirage : leur liberté. Il va falloir changer la devise de la France.

J'aime(12)Ferme-la !(0)

Eviter les piratages « bêtes »

Le Monde raconte de quelle façon il s’est fait « piraté » son compte Twitter.

C’est intéressant comme dé-mystification de l’image du pirate. On y voit que les attaquants :

  • cherchent à provoquer l’erreur humaine en envoyant des faux mails (n’importe qui peut choisir le nom et l’adresse de l’émetteur des mails qu’il envoie) qui contiennent un lien vers une page web imitant l’interface d’administration des sites qu’elle connaît (LeMonde, Facebook, Gmail, etc…) dans le but de lui soutirer son mot de passe. Et ça marche !
  • volent le compte en parvenant à répondre à la fameuse « question personnelle » qui permet de récupérer son compte ou son mot de passe sur la majorité des services en ligne comme Gmail, Facebook ou Twitter.

Il n’y a donc point d’exploit informatique ici, juste une méconnaissance des usagers vis à vis des bonnes pratiques:

  • Ayez un ordinateur non compromis (pas de virus, pas de cheval de Troie). Ceux qui ont compris ça utilisent uniquement des logiciels de confiance (pas de crack qui vient de n’importe où, pas de logiciel gratuits à publicités qui viennent t’espionner). Le mieux est d’utiliser uniquement des logiciels libres compilés par une tierce personne de confiance. Ça diminue encore les risques.
  • Vérifier toujours l’adresse de la page web sur laquelle vous êtes quand vous rentrez un mot de passe. C’est la seule garantie que vous envoyez le mot de passe au bon site. Ne vous fiez pas à la charte graphique. Vérifiez également que le cadenas SSL est présent.
  • Hébergez vos services vous même, comme ca pas besoin de « question personnelle » pour récupérer votre compte puisque vous avez accès à la machine pour modifier le mot de passe si besoin :-)
    • ou activez la double authentification (il faut une confirmation depuis votre smartphone pour changer le mot de passe du compte) et donnez une « question vraiment très personnelle » pour récupérer votre compte que ni un recherche Google ni votre plus proche ami, mère ou copain ne pourrait trouver. Sinon cette question devient une porte d’entrée plutôt qu’une sécurité.
J'aime(9)Ferme-la !(1)