Lister les connexions entrantes de votre ordinateur

La commande netstat -tape permet de lister les processus qui acceptent des connections entrantes sur votre ordinateur. Facile à se rappeler !
Pour plus d’information, man netstat.

# netstat -tape
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        User       Inode       PID/Program name
tcp        0      0 localhost:60061         *:*                     LISTEN      mysearch   7850        2813/python     
tcp        0      0 *:43173                 *:*                     LISTEN      statd      13393       1844/rpc.statd  
tcp        0      0 *:sunrpc                *:*                     LISTEN      root       13372       1816/rpcbind    
tcp        0      0 *:ssh                   *:*                     LISTEN      root       33422       6097/sshd       
tcp        0      0 *:gdomap                *:*                     LISTEN      root       6788        2253/gdomap     
tcp6       0      0 [::]:sunrpc             [::]:*                  LISTEN      root       13375       1816/rpcbind    
tcp6       0      0 [::]:32947              [::]:*                  LISTEN      statd      13397       1844/rpc.statd  
tcp6       0      0 [::]:ssh                [::]:*                  LISTEN      root       33424       6097/sshd

Et ça continue encore et encore…


Le journal allemand Bild a révélé le 23/02/2014 que 320 haut fonctionnaires allemands étaient toujours espionnés par la NSA par des agents basés en Allemagne.
Le journal allemeand DeSpiegel a révéle le 27/10/2013 que Angela Merkel était espionnée depuis 2002 ! Même Obama le savait depuis 2010 et a bien sûr continué à profiter de cette position.

C’est quelque chose d’incroyable dans des relations diplomatiques entre états. Difficile d’imaginer qu’il en soit différent pour la France, étant donné que même Closer peut espionner notre président :D

Mais ce qui me choque le plus, c’est la non réaction de la classe au pouvoir. Aucune réponse ! Rien ! Nada !

Voici un bon dossier de rappel sur toutes les révélations de Snowden pour vous raffraichir la mémoire.

Bloquer l’accès à la mémoire du téléphone lors du branchement USB

Par défaut, lorsque vous branchez un câble USB à votre téléphone Android, vous donnez un accès en lecture/écriture à la totalité de votre téléphone. C’est pour moi une grosse faille de sécurité si l’on se branche sur l’ordinateur de quelqu’un à qui on n’a pas forcément envie de donner toutes ses données ou à un chargeur public qu’on ne connaît pas.

refCharlesdeGaulle

Pour désactiver l’accès automatique à la mémoire de votre téléphone lorsque l’on branche un cable USB, allez dans les options du téléphone, puis sur « Stockage », puis dans les options (l’icône en haut à droite avec 3 points verticaux), sélectionnez « Connexion USB à l’ordinateur » et désactivez les entrées MTP et PTP.

Messagerie sécurisée, attention à votre carnet de contact !

Une des questions cruciales à se poser sur une messagerie « sécurisée » est comment sont gérées les méta-données?

Par exemple, il est intéressant pour la NSA et autres états qui surveillent en masse de savoir qui parle à qui et à quelle fréquence. Ça permet aisément de construire des réseau de relations à faible coût.

Regardons maintenant un petit peu comment fonctionnent Textsecure et Telegram .

Pour mettre en relation les utilisateurs, ceux-ci se basent sur le numéro de téléphone.
Chaque utilisateur est identifié par son numéro de téléphone, vérifié par l’envoi d’un SMS sur le terminal lorsque l’on crée son compte de messagerie.Ensuite, lorsque l’on envoie un message à un contact, ça se passe grosso modo comme ça :

  1. on envoie le numéro de téléphone de son correspondant.
  2. le serveur cherche dans sa base d’utilisateurs connectés si il trouve le numéro de téléphone.
  3. le message est transmis au terminal de notre correspondant par la connexion permanente (PUSH) établie entre le terminal de notre correspondant et le serveur.

On comprend bien que déjà la personne qui gère le serveur sait qui parle à qui et à quelle fréquence.

Ensuite, on peut avoir quelques fioritures encore plus pourries :

Par exemple, comment savoir avec quels contacts je peux utiliser mon « application de communication sécurisée » ? En demandant au serveur, pour chacun des numéros de mon carnet de contact, s’il correspond à utilisateur enregistré. Bingo, vous venez d’envoyer la totalité des numéros de votre carnet de contact.

Ce qui est encore plus rigolo, c’est que même si vous ne l’avez pas fait mais que vos contacts ont envoyé leur carnet de contacts, par recoupement, le serveur peut reconstruire le votre. La preuve flagrante, c’est quand vous créez un compte avec un carnet d’adresse vide, mais qu’automatiquement, le serveur trouve vos amis (Ex: facebook, linkedin, etc…)

Pour moi, le design de base de ces applications rendent impossible la protection des métadonnées des échanges sauf si l’on a confiance dans le serveur. Croyez-vous encore au « Don’t be evil »?

Une solution serait :

  1. Utiliser un identifiant ne permettant pas de remonter facilement à l’identité réelle de l’utilisateur (ex : un numéro aléatoire)
  2. Ne pas laisser le serveur connaître qui envoie le message (ex: le message ne contient que l’identifiant du destinataire en clair, le message envoyé par l’utilisateur émetteur passe par plusieurs relais avant d’arriver au serveur. On peut ainsi dire que le message est envoyé de manière anonyme. L »identité de l’émetteur est à l’intérieur du message chiffré que seul le destinataire peut déchiffrer)

Dossier partagé entre utilisateurs sous Linux

La problématique du jour est de faire un répertoire partagé entre les utilisateurs d’un même ordinateur sous linux.

Permissions Unix, la mauvaise solution

Les permissions Unix sont très performants pour restreindre les accès mais rendent la création d’un répertoire partagé impossible en pratique.

La solution classique serait de créer un groupe qui regroupe les utilisateurs et de faire en sorte que tous les fichiers partagés appartiennent à ce groupe. Ca fonctionne en théorie, mais dans la pratique, les utilisateurs créent/modifient/copient  des fichiers sans vouloir mettre à jour les permission groupes. Et seul le propriétaire du fichier peut modifier la permission de groupe du fichier, ce qui rend la chose ingérable.

Le SGID est également une fausse bonne idée pour propager les droits aux fichiers créés car il ne se propage pas aux fichiers copiés par l’utilisateur vers le dossier partagé.

ACL

La solution élégante et performante passe par les ACL ou Access Control List. Elle permet un contrôle bien plus fin et explicite.

Pour avoir accès aux droits ACL vous devez avoir ajouté l’option à votre /etc/fstab .
Ex :

/dev/hda6 /home ext3 options1,option2,option3,acl 0 0

Une fois fait, remontez le point de montage.

# mount -o remount,acl /home

Assignation des droits ACL

On crée un dossier en root /home/dossier_partage. Personne peut y accéder à part root. Jusqu’ici rien de spécial.

# cd /home
# mkdir dossier_partage
# chmod 770 dossier_partage

On ajoute des droits étendus pour que les utilisateurs alice et bob puisse tout faire dans ce dossier.

# setfacl -m u:alice:rwX dossier_partage
# setfacl -m u:bob:rwX dossier_partage

On ajoute des droits étendus pour que les fichiers/dossiers créés dans ce dossier aient par défaut les mêmes droits étendus.

# setfacl -m d:u:alice:rwX dossier_partage
# setfacl -m d:u:bob:rwX dossier_partage

On peut vérifier les droits finaux ainsi :

$ getfacl dossier_partage/

# file: dossier_partage/
# owner: root
# group: root
user::rwx
user:alice:rwx
user:bob:rwx
group::rwx
mask::rwx
other::—
default:user::rwx
default:user:alice:rwx
default:user:bob:rwx
default:group::rwx
default:mask::rwx
default:other::—

Astuce sécurité

Par défaut, le /home/user des utilisateurs n’est pas privé sous Debian ! Si bien que Alice peut lire les fichier dans /home/bob .

Je vous recommande la lecture de ce document sur comment sécuriser Debian, surtout ces 2 points

  • 4.11.13.1 Limiter l’accès aux informations d’autres utilisateurs
  • 4.11.12 Positionner des umasks aux utilisateurs

Le plus important : Pour tous vos utilisateurs existants, assurez que le dossier home bloque bien l’accès aux autres utilisateurs :

# chmod 750 /home/bob

Ensuite, vous pouvez faire en sorte que soit créé automatiquement comme ça quand vous créez un utilisateur:

# dpkg-reconfigure adduser

et choississez Non

Vous pouvez également faire en sorte que les utilisateurs créént par défaut des fichiers que seuls eux peuvent voir :

# echo session optional pam_umask.so umask=027 >> /etc/pam.d/common-session

Dans /etc/login.defs, changez la valeur à UMASK 027

Pour vérifier les droits de l’utilisateur courant :

$ umask

Yahoo délocalise vos données personnelles

La protection de la vie privée est trop contraignante en France, pas de problème pour Yahoo qui délocalise ses serveurs en Irlande.

Concrètement, Yahoo ne respectera plus la loi française sur la protection des données personnelles, mais la loi irlandaise. Yahoo EMEA remplace Yahoo! France SAS en tant que responsable de traitement des données personnelles des utilisateurs français, et sa placera sous le régime irlandais de la protection de la vie privée, qui reste basé sur la Directive européenne relative à la protection des données personnelles.

La principale conséquence devrait être que la CNIL, qui vient de sanctionner Google France, ne pourra pas sanctionner Yahoo. Ce qui pourrait devenir problématique si les sanctions sont alourdies.

Le Parlement de Turquie renforce le contrôle d’Internet

Le Parlement turc a adopté, mercredi 5 février, une série d’amendements controversés qui renforcent le contrôle de l’Etat sur Internet, dénoncés comme « liberticides » par l’opposition turque et de nombreuses associations.

Une série de mesures permettent, notamment, à l’Autorité des télécommunications (TIB) de bloquer l’accès à une page dans un délai de quatre heures sans avoir à demander l’autorisation d’un juge. Les autorités seront également autorisées à exiger des fournisseurs d’accès la communication des informations sur les sites visités par un internaute, celles-ci devant être conservées pendant deux ans.

Après quelques heures à peine d’un débat très animé, les députés du Parti de la justice et du développement (AKP) au pouvoir, qui dispose de la majorité absolue, ont adopté sans surprise et sans difficulté ces nouvelles dispositions, qui visent officiellement à « protéger la famille, les enfants et la jeunesse ».

Ce nouveau texte permet notamment à l’autorité gouvernementale des télécommunications (TIB) de bloquer sans décision de justice les sites Internet portant atteinte à la « vie privée » ou publiant des contenus jugés « discriminatoires ou insultants ». Il permet également à la même TIB de requérir auprès des fournisseurs d’accès, et de conserver pendant deux ans, des informations sur les sites visités par chaque internaute.

Environ 2 000 personnes ont manifesté, samedi 8 février à Istanbul, contre une loi récemment adoptée par le parlement turc et renforçant le contrôle des autorités sur internet.

Les forces de l’ordre ont utilisé des gaz lacrymogènes et des véhicules équipés de canons à eau pour disperser le cortège qui se dirigeait vers la place Taksim, lieu symbolique du mouvement de contestation du mois de juin dernier. Quelques manifestants ont répliqué par des jets de pierre et de pétards.

Ce que l’on oublie de dire c’est qu’en France, c’est pire depuis bien longtemps. Petit rappel du décret d’application de la LCEN

Si j’étais un terroriste

Si j’étais un terroriste, j’aurais un compte Facebook et communiquerais en utilisant la stéganographie sur mes photos perso.
Si j’étais un terroriste, je déposerais une bombe dans un sac dans un TGV vu que l’accès au train est libre et que tout le monde peut y déposer un bagage sans même avoir un billet.
Si j’étais un terroriste, je ferais dérailler un TGV avec une pièce de métal mise sur les rails sur une tronçon de campagne d’une ligne TGV.
Si j’étais un terroriste, je diffuserais un gaz/virus contagieux à la station Chatelet-les-Halles qui ne tue que quelques jours plus tard histoire de foutre la trouille à toute l’île-de-France.
Si j’étais un terroriste, je déposerais une bombe emballée dans un sac MacDonalds dans une poubelle publique d’un centre commercial. Une bombe avec des clous, pour faire bien mal mais pas tuer.
Si j’étais un terroriste, j’aspergerais de produit chimique mortel quelques fruits dans les supermarchés histoire de créer une psychose sur la sécurité de l’approvisionnement de la bouffe dans une chaîne de production mondialisée (mon miel vient d’amérique du sud !)

Voila le fruit d’une réflexion d’un quart d’heure sur le thème « Et si j’étais un terroriste ». J’ai pas cherché bien longtemps. Et qu’ont prévu la DCRI, Manuel Valls, la NSA et tout le tralala contre ça ? Rien. Car ce serait un coût de dingue d’essayer d’empêcher ce genre d’actions.
Par contre, au nom du « terrorisme » qu’ils n’empêcheront jamais d’exister, ils filment le peuple 24h/24h dans la rue, ils lisent tous les mails, conservent l’historique de chaque site visité sur le net, notent les destinataires des courriers et pourront mettre sur écoute et suivre quelqu’un sans juge.

Vous aussi, réfléchissez 15 minutes à ce qu’il vous serait possible de faire si vous aviez la volonté de nuire et terroriser la société. Et la prochaine fois qu’on vous demande de restreindre votre liberté pour « lutter contre la menace terroriste », vous saurez quoi répondre.


Si j’étais terroriste… par Mecanopolis

La NSA collecte vos SMS

Si vous êtes passés à coté de l’info, Snowden affirme par des documents remis au Guardian que la NSA collecte les SMS en masse. Et pas qu’un peu : 200 millions par jour en 2011 !Ceci afin de construire votre réseau de relations, votre position, mais aussi récupérer vos infos bancaires et autres secrets qui vous seraient transmis par SMS.

“This makes it particularly useful for the development of new targets, since it is possible to examine the content of messages sent months or even years before the target was known to be of interest.”

Donc quand l’état voudra faire pression sur vous dans quelques années, ce ne sera pas un problème pour elle de trouver des choses compromettantes dans votre vie privée.
Pour rappel, en Ukraine des SMS d’intimidation ont été envoyés aux manifestants pro européens !

Allez, le chiffrement pour tous, c’est maintenant !

(Autre article de référence en français)