Chrome donne tous vos mots de passe à Google

En utilisant le navigateur Google Chrome et en vous connectant à votre compte Google avec Chrome (« Menu » / « Se connecter à Chrome… »), Google synchronise par défaut les données du navigateur avec son cloud.

Cela comprend les favoris, l’historique et l’ensemble des mots de passe mémorisés localement. C’est utile pour récupérer ou partager ses préférence entre plusieurs appareil mais pourquoi donc cela est-il fait sans chiffrement, de telle sorte que Google, et tous les services qui en demandent l’accès NSA, etc.. aient un accès tout trouvé à vos secrets, accès et historique de navigation?

Je vous conseille d’utiliser plutôt la solution de Mozilla Firefox  appelée « Sync » qui fait la même chose (sauvegarde dans le cloud et partage de votre historique, favoris et mots de passe entre appareils) mais de telle sorte que vous seul puissiez en connaître le contenu.

Enfin, on savait déjà l’appétit de Google pour vos infos personnelles. Chrome n’est qu’un moyen pour leur core business, il ne faut pas l’oublier.

J'aime(14)Ferme-la !(1)

La vidéoconférence par WebRTC est elle sécurisée?

Actuellement, le schéma WebRTC actuellement proposé par moult sites web comme Talky.io, vLine etc… est similaire. C’est le serveur web qui est responsable de la première mise en relation des clients et de leur authentification.

Le premier utilisateur rejoint une « salle » identifiée par une URL et chaque client qui se connecte à cette URL se joint à la « salle » de visioconférence.

Cela pose un problème de sécurité. Qu’est ce qui m’assure que :

  • le serveur web ne va pas s’interposer entre les clients pour enregistrer toutes les conversations? (il s’assurer que l’IP d’échange de données est bien celle de chaque correspondant)
  • qu’un client caché n’est pas aussi présent dans la salle? (il faudrait vérifier et comprendre le code source livré par le site web à chaque exécution)
  • que mon correspondant ou moi-même ne sommes pas l’objet d’un MITM sur un nœud de connexion réseau. Par exemple, un routeur de mon FAI ou de mon réseau local pourrait relayer la vidéo.

Ces problèmes sont présents actuellement dans les services proposés au grand public. Je vous invite à lire cet article : WebRTC Security – an overview & privacy/MiTM concerns (including a MiTM example) pour aller plus loin sur le sujet.

J'aime(0)Ferme-la !(0)

Quelques définitions de Mediapart

Brice Hortefeux : « Je voudrais ce soir encourager les téléspectateurs à lire Mediapart. Ils y découvriront ce qui n’existe pas »
Bruno Roger-Petit : « Mediapart a peut-être inventé le journalisme de bûcher »
Hubert Védrine : « La transparence est une maladie entretenue par les vautours comme Mediapart »
Jean-François Copé : « Ce sont des méthodes, excusez-moi, des années 30 »
Xavier Bertrand : « Mediapart, c’est le site qui utilise des méthodes fascistes »
Isabelle Balkany : « Je souhaite du fond du cœur que Mediapart fasse faillite »
Alain Minc : « Si vous me dites que le modèle d’indépendance pour la presse, c’est Mediapart, alors je suis assez inquiet pour la démocratie française. Rassurez-vous et croyez-en mon expérience, Mediapart ça ne marchera jamais. La presse sur le Net ne peut être que gratuite »
Alain Finkielkraut : « Mediapart, le site d’information qui donne envie de changer de planète »
Nadine Morano : « Mediapart me fait gerber. Je ne veux pas donner une seule information qui puisse ramener de l’argent à ce journal de vomi et à ce Plenel dégueulasse »

Abonnez vous

J'aime(2)Ferme-la !(1)

Blocage des sites web… encore !

J’entends que l’assemblée a encore voté pour le filtrage des sites web consultable depuis la France, sans décision judiciaire.

Premièrement, d’un point de vue technique, c’est chaud :

  • Le blocage par DNS est facilement contournable et ne concernera que ceux qui ne savent pas mettre « 8.8.8.8 » dans une case de Windows. Autrement dit, une efficacité si nulle que même un gamin de 12 ans saura la contourner sur son smartphone
  • Le blocage par DPI, plus efficace, coûterait 200 millions d’euros par an au contribuable. Pas sûr que ce soit politiquement acceptable vu le maigre bénéfice et surtout la conséquence que cela mettrait sur pied une infrastructure d’espionnage généralisé de toutes les communications des français.
  • Le blocage par IP, qui bloquerait tous les sites hébergés sur un serveur mutualisé. Sans parler que bloquer une IP dynamique bloquerait tous les utilisateurs qui récolterait après l’IP blacklistée.
  • Aucune solution technique pour pouvoir bloquer une page Youtube sans bloquer tout Youtube si Youtube n’approuve pas la demande de censure. (SSL masque l’adresse complète de la page web vue, bon courage)
  • Je n’ai même pas parlé des VPNs dont l’usage se généralise (entreprise, téléchargement, pays censurés, etc…)

Donc déjà là, on se dit que discuter du blocage des sites web dans une loi sans savoir si c’est possible, c’est comme décrêter qu’il faudrait arrêter l’air !

En plus, l’Etat voudrait faire cela sans contrôle judiciaire à priori. Quelle menace du pouvoir sur le citoyen !

Les sites web bloqués seraient consignés aux opérateurs soit par une liste confidentielle à l’abri du regard citoyen (bienvenue en pays totalitaire), soit par une liste publique (quel merveilleux annuaire!)

Il va falloir s’y faire, Internet n’est pas fait pour la censure. L’ère de l’ORTF est finie.

J'aime(4)Ferme-la !(0)

D’où vient l’argent de Facebook ou Google ?

De vous ! De chaque utilisateur de Facebook ou Google qui, influencé par les publicités, va acheter le produit en magasin alors qu’il ne l’aurait pas acheté ou aurait préféré un concurrent si il n’avait été exposé à la publicité.

Je vous assure que sans TV, sans magazine (dont une page sur 2 est de la pub) et avec Adblock pour naviguer sur le web, on ressent beaucoup moins cette pression publicitaire. Pourquoi acheter Coca-Cola et pas Lidl cola? L’un est meilleur que l’autre ? Sans pub, les 2 sont des sodas bourrés de sucre et colorés artificiellement et aucun à priori ne les départage dans le magasin. Et c’est pareil pour tout voiture, produit ménager, etc… Les choix que vous faites ne sont plus chargés de l’affect propagé par la pub et bien plus rationnels.

Quand on pense qu’il suffirait que les gens arrêtent d’utiliser Facebook pour qu’il coule. Mais non :

J'aime(2)Ferme-la !(0)

Encore des stars à poil sur Internet

Ce week-end, a été publié encore une flopée de photos et vidéos de stars Hollywood dans des positions des plus embarrassantes si vous voyez ce que je veux dire.

Je suis impressionné que des mecs aient pu récolter des photos si compromettantes sur des personnes si ciblées.
Est ce que le système de données personnelles centralisé (vendu sous le petit nom moins angoissant « cloud ») qui permet entre autres à une poignée d’individus (les patrons des admins) de surveiller les autres (nous) ne se retourne pas finalement en partie contre eux ?

A un moment donné, ce système géant il faut bien le maintenir en fonctionnement, et malgré toute l’automatisation des machines il faut un grand nombres d’informaticiens pour maintenir cela en marche avec les délégations de pouvoir et d’accès qui vont avec.
Quel admin n’a jamais eu accès (je n’ai pas dit « accédé ») aux données confidentielles de ses clients?

Comme je doute qu’il y ait (pour l’instant) un traitement différencié pour les VIPs (et comment choisirait-on les VIPs?), il y a une palanquée de personnes qui ont accès aux photos, à la géolocalisation, aux carnets de contacts, agendas, etc… des système de données personnelles mondiaux. Et ceci quand ils veulent puisque tout est archivé pour l’éternité.

Comme, contrairement à beaucoup de chose, quand on copie les données, on n’empêche pas le système de tourner et on peut faire en sorte que ça ne se voit pas (admin power), il me parait moins étonnant que des admin, à priori quelconques, voient des choses croustillantes et décident de les garder sous le coude (coucou Mr Snowden).

Là où il fallait autrefois des moyens de fou furieux pour espionner une célébrité, il n’est plus besoin que de quelques touches de clavier pour les informaticiens ayant accès aux données en production.
Miam !

J'aime(3)Ferme-la !(1)

WordPress 4.0

WordPress 4.0 vient de sortir il y a quelques heures.

Voici ses nouveautés :

  •  Une nouvelle galerie des fichiers medias.
    Le look est nouveau mais il y a aussi une nouvelle fonctionnalité sympa : En affichant les détails d’un media, on peut voir la liste des articles qui y font référence.
  • La mise en page de l’éditeur est plus dynamique.
    C’est plus pratique à utiliser quand on écrit de grands articles je trouve.
    J’ai quand même trouvé un bug, les boites flottantes de droite ne scrollent plus quand on arrive en bas de la page donc je ne peux pas accéder à tout leur contenu.
  • L’interface de recherche a été revue.
    Le look est plus moderne, on a le droit à de grosses icones.. whoah. Nan je rigole, je trouve cela futile.
    Par contre, on a accès aux détails du plugin en overlay quand on clique dessus plutot que charger une nouvelle page et ca j’aime bien.
  • Enfin le meilleur pour la fin, l’intégration des médias riches (vidéo, audio, tweet) se fait beaucoup plus facilement. Plus besoin de se prendre la tête avec les balises. On colle l’url dans l’article et WordPress inclut le widget qu’il faut si le site d’origine est dans cette liste
J'aime(5)Ferme-la !(0)

iCloud et bruteforce

Vous n’avez pas échapper à la mauvaise nouvelle, malgré leur confiance dans iCloud, des gens se sont retrouvés à poil sur Internet. Certains sites informatiques tels que Numerama ou Reflet pensent qu’une attaque par brutefore des services d’Apple a pu permettre cela.

Je suis très sceptique sur le bruteforce par Internet. La latence est un ennemi assez redoutable.
Prenons en exemple le script Python incriminé pour bruteforcer iCloud nommé iBrute.
En insérant un basique timer, on peut compter 2 tentatives par secondes depuis une ligne ADSL.

Sachant qu’un password d’AppleID contient au minimum 8 caractères dont au moins un nombre et une majuscule. Ce qui fait, dans le pire des cas (6 chiffres, un caractère minuscule, un caractère majuscule) : 10⁶*26²*8*7 = 38*10⁹ possibilités.

Ce qui veut dire qu’il faudrait 602 années pour trouver le mot de passe à coup sûr avec une attaque de ce type.

Par contre, si votre mot de passe est composé d’un mot du dictionnaire, du langage commun, ou d’une référence que connaît l’attaquant, la recherche peut être bien plus courte. A titre de référence, le dictionnaire Larousse contient 135’000 mots soit environ le même nombre de possibilités qu’un mot de passe à 5 chiffres. Imaginons que votre mot de passe AppleID soit maintenant un mot français de 6 lettres (16000 possibilités), dont la première lettre est majuscule, suivi d’un nombre à 2 chiffres soit 16000*10² =1.6*10e6 possibilités. Il faudrait alors seulement 9 jours pour le trouver à coup sûr avec l’attaque par bruteforce citée ici si l’attaquant se focalisait sur ce pattern.

La moralité de cette histoire, c’est que si votre mot de passe est suffisamment complexe et surtout évite les mots communs, vous être tranquille face à une attaque par bruteforce de votre compte AppleID par Internet.

La blague de cette histoire, c’est que pour couper court à la polémique, Apple a décidé de bloquer l’accès au compte iCloud après 25 tentatives infructueuses. L’utilisateur est alors forcé à changer son mot de passe sur cette page. Vous voyez déjà le truc, il est possible d’empêcher quelqu’un d’accéder à son compte en lançant en continu des tentatives de connections avec le script cité ci-dessus. Pourquoi Apple bannit le mot de passe et non l’IP de l’attaquant comme le font classiquement les systèmes fail2ban, mystère…

J'aime(6)Ferme-la !(0)

Avec HSTS, forcez vos visiteurs à revenir en HTTPS sur votre site web

HSTS permet à un site web en HTTPS de notifier au navigateur web qu’il doit toujours revenir le voir en HTTPS et non en HTTP.

Concrètement, ça prend la forme d’une entête spéciale envoyée par le serveur lors de la consultation d’une page web en HTTPS. Donc il faut que votre visiteur visite au moins une fois votre site web en HTTPS pour que la règle soit prise en compte.

Pour l’activer sur Apache, rajoutez cette ligne à votre virtualhost SSL :

Header add Strict-Transport-Security: "max-age=15768000; includeSubdomains"

J'aime(2)Ferme-la !(0)

Forcer l’usage d’HTTPS à Firefox

Certains sites web sont accessibles en HTTP et HTTPS mais l’on voudrait toujours les visiter en HTTPS pour éviter de se faire sniffer son mot de passe ou son cookie, ou laisser quelqu’un savoir ce que l’on consulte sur un site web (genre la NSA ou l’admin réseau).

Pour cela, le plugin pour Firefox NoScript a une fonction bien pratique qui permet de forcer l’accès de certains sites (ou de tous les sites) en HTTPS.

noscript https

Il existe aussi le plugin Firefox HTTPS everywhere développé par l’Electronic Frontier Fondation mais bizarrement celui-ci n’est pas disponible dans le dépôt d’addons de Mozilla.

J'aime(3)Ferme-la !(2)