Quand le scandale a été révélé, j’émettais déjà de sérieux doutes sur les postures indignées des politiques et sur notre capacité à réagir sérieusement. Aujourd’hui Médiapart révèle une affaire (accès payant) qui ne fait qu’apporter de l’eau à notre moulin. Des milliers de mails d’eurodéputés auraient été compromis, et Médiapart d’enfoncer le clou affirmant que bon nombre d’institutions restent des passoires.
Choix techniques ridicules (Microsoft Exchange), comportements irresponsables (on se connecte avec son smartphone au premier hospot public à la terrasse de café d’en face), manque cruel de sensibilisation la plus basique aux outils pourtant aujourd’hui indispensables (hein ? Quoi ? un VPN, c’est quoi ?)…
On peut blâmer les programmes de surveillance américains, mais qui faut-il blâmer quand on se rend compte que l’espionnage de nos institutions est à la portée de presque n’importe qui pour un budget d’une centaine d’euros ?
La démission résignée des utilisateurs
L’article de Mediapart nous apprends quelque chose que nous soupçonnions déjà : en plus d’utiliser Microsoft Exchange depuis une terrasse de café en wifi sur un smartphone, aucune authentification multi-facteurs n’est mise en place.
J’ai eu l’occasion de d’échanger avec des groupes politiques, français ou européens. Leur calcul est le suivant : comme leurs travaux étant destinés au public, ils estiment ne pas avoir à observer de mesures de sécurité particulières. Une marque de transparence ? De l’inconscience ? Je laisse à chacun se faire son opinion là dessus mais celà ne revient-il pas au fameux “je n’ai rien à cacher”.
Le mail est un outil d’importance vitale dans le quotidien d’une formation politique, c’est par exemple par là que circulent des propositions de loi à peine à l’état d’ébauche. Intercepter en amont ce qui va devenir une proposition de loi, c’est s’assurer d’un lobbying ultra efficace. Et à votre avis ? Que font les américains ?
Insecurity by Design
D’une manière générale, la confidentialité des communications, c’est l’un des grands échecs du 21e siècle. Pourquoi ? Parce que tout a été fait, à la base, pour l’annihiler : centralisation, absence de couche de chiffrement native dans l’immense majorité des protocole, contre-éducation n’ayant jamais incité à observer de bonnes pratiques… Le pire, c’est qu’on ne peut pas passer notre temps à blâmer uniquement les utilisateurs, les industriels ont une grande part de responsabilité, tout comme les responsables informatiques qui ont relégué les utilisateurs au rang de gamin qu’on ne prendra surtout pas le temps d’éduquer… un grand mal du 21e siècle.
Aujourd’hui un responsable informatique qui offre les clés d’une administration en signant des contrats à Microsoft pour plusieurs millions d’euros devrait être viré pour faute lourde… Comme ce’ scandaleux contrat de 19 millions d’euros lui aussi révélé par Médiapart à destination du ministère de la défense :
La député Isabelle Attard dresse elle même un constat fort juste du rapport que peuvent avoir les dirigeants face aux problématiques liées à la confidentialité des échanges à l’ère du tout numérique :
« il y a une totale méconnaissance de ces problématiques par les décideurs politiques ». « Quand nous évoquons ces sujets, la plupart de nos collègues ne nous prennent pas au sérieux, ou n’en voient pas l’intérêt. On me dit “Isabelle, tu exagères…”, voire “Tu es parano”, même sur les bancs socialistes. Nous avons récemment essayé de recenser les élus qui se sentaient concernés, et nous n’avons trouvé que 10-12 députés, tous bords confondus. »
Démission des professionnels
Face aux murs, au lobbying de puissantes entreprises américaines, les professionnels de la sécurité ou du logiciels libres sont eux aussi tentés de démissionner de leur rôle pédagogique. Un premier ministre peut signer toutes les directives favorables à l’utilisation du logiciel libre dans les administrations qu’il voudra… si ces administrations continuent de signer tout et n’importe quoi avec des Microsoft, des Google, des Oracle…. il ne faut pas s’étonner de les voir mourir ou aller chercher des débouchés ailleurs.
Il y a des trucs comme ça, quand on ne s’y attend pas, ça fait vraiment du bien.
Alors que j’étais en train de m’arracher les cheveux à comprendre comment changer un enregistrement A sur l’interface de gestion des DNS de SFR Business Team pour un ami (et donc à comprendre que je ne peux pas le faire moi même et qu’il faut en faire la demande pour la modique somme de 60€ HT)…
Je suis tombé alors sur l’un des messages les plus hilarants qu’il m’ait été donné de découvrir sur une interface clients. J’en ai conservé un screenshot que je partage ici avec vous (cliquez pour agrandir).
Pour les personnes qui n’ont pas compris la subtilité de ce message, SFR avertis gentiment l’utilisateur que le champs de commentaire est probablement vulnérable à des injections SQL. Donc, pour des raisons de sécurité, (comprenez la sécurité du site SFRBusinessTeam et de ses clients)… s’il vous venait à l’esprit de leur laisser un commentaire, ça serait bien d’éviter de mettre leur base de données à poil en utilisant les caractères et chaines de caractères mentionnés… Bref le genre de message que je n’avais encore jamais croisé jusque là.
Chapeau la Business Team et merci pour le fou rire 😉
Update 1 : Le gag avait déjà été reporté en janvier dernier(!) par Sebsauvage <3.
Attention ce qui suit est un scoop 🙂
Update 2 : Bon alors pas de panique surtout, bientôt on pourra modifier nos DNS grâce à Office365 directement depuis un doc Word ou Excel !
Le site Toulouse7.com ayant décidé d’égarer mon commentaire en réaction à cet article, je me suis dit qu’au final, une réponse trouverait un peu plus d’écho sur ce blog pour sensibiliser les personnes qui pourraient se laisser berner. On se doutait bien que des petits malins allaient surfer sur la vague PRISM pour refourguer leurs “solutions” qui n’en sont pas. Je viens de tomber sur le parfait exemple d’article de page de pub totalement à côté de la problématique de fond pour mettre en avant une solution technique qui ne répond en rien à l’expression d’un besoin de confidentialité pourtant réel des entreprises comme des particuliers face à PRISM, Tempora, et tous les programmes de renseignement d’origine électromagnétique… qui se traduit, rappelons le, par ce qu’on appelle de l’interception massive sur les réseaux IP…
Par pitié, si vous êtes chef d’entreprise et que vous vous sentez concerné par la confidentialité de vos données professionnelles, ne vous laissez surtout pas endormir par ce genre de charlatan qui vous préconise une solution (la leur) alors qu’ils n’ont visiblement pas compris le problème. Nous le savons, le monde de la “sécurité” informatique raffole des peurs des uns et des autres. Un prospect qui a peur, c’est un client en puissance. Si en plus on joue sur sa fibre patriotique, c’est le jackpot.
Si vous vous souvenez par exemple du logiciel de “sécurisation” HADOPI qui n’a finalement jamais vu le jour et dont j’ai d’ailleurs largement parlé sur ce blog, vous vous souvenez peut être aussi des pseudo solutions à la con, comme les HADOPIPOWARES vendus par des sociétés comme Orange et beaucoup d’autres, ce alors qu’aucune spécification n’était rédigée. Un défilé de “solutions” toutes plus crétines les unes que les autres, quand elles n’étaient pas tout simplement vouées à créer plus d’insécurité que de sécurité. A n’en pas douter, et je m’y attendais, PRISM va provoquer le même phénomène, mais cette fois à l’échelle mondiale. Et ça c’est inquiétant.
i (won’t) Trust you
Notre premier winner s’appelle Jean-Nicolas Piotrowski, il dirige la société iTrust, dont je ne remets pas en cause la qualité des produits, je ne les connais pas, je ne les ai pas testé. En revanche je remets en cause ses propos sans queue ni tête pour vendre sa salade, et tout le iBullshit qu’il met autour pour nous enrober ça en se parant de sa blouse blanche.
Il commence d’ailleurs assez fort en mettant en branle son expertise en droit international, un terrain sur lequel peu d’experts en sécurité s’aventurent tant il est casse gueule :
L’espionnage par PRISM n’est pas légal et va à l’encontre à la fois de la règlementation US du tribunal fédéral relatif au renseignement étranger et de la règlementation européenne.
Ah bon ? PRISM ne serait donc pas “légal”… Please define “légal”… légal pour qui ? Légal pour quoi ? Le Patriot Act est illégal ? Un traité comme l’UKUSA est illégal ? J’entends déjà d’ici les britanniques ricaner… j’entends aussi tous les juristes se fendre la poire. Après ce bref interlude juridique, on rentre dans le FUD technique, un peu comme le coup du “connu inconnu” qui m’avait tant fait rigoler :
tel qu’il est techniquement décrit, il ne permet pas seulement de surveiller des individus (officiellement étrangers aux USA) mais permet aussi de perpétrer de l’espionnage économique (notamment à destination des entreprises utilisant les services tels que par exemple : Google, Microsoft, Apple.)
Maintenant que le lecteur est persuadé que PRISM est illégal et qu’il est face à un “expert”, le voilà mûr pour se faire cueillir :
Alors que faire ? Il faut simplement appliquer ce que certaines instances européennes légitimes et certains experts préconisent
utiliser des logiciels et solutions professionnelles européennes (Préconisations faites par la CNIL, le rapport du sénateur Boeckel et l’agence européenne ENISA)
héberger des données d’entreprises dans des data centers sur sol européen,
choisir des prestataires informatiques privilégiant des solutions européennes dans leurs infrastructures et qui ne seront donc pas soumises au Patriot Act
La conclusion de Jean-Nicolas Piotrowski, on s’y attendait un peu :
Les solutions existent, la preuve en est, j’en ai développé une non soumise au Patriot Act qui garantit une totale confidentialité des données. L’histoire de PRISM nous montre que ce n’est pas le cas pour les solutions américaines.
Wahou… un solution non soumise au Patriot Act ! c’est fort ça ! Nous voila rassurés ! Mais mesurons le degré de soumission au Patriot Act de manière un peu plus objective.
Le domaine iTrust.fr est déposé chez Gandi, jusque là tout est souverain
iTrust est hébergé sur l’AS39405, un AS souverain (Full Save Network)… jusque là tout va bien, mais attention, le peering est moins souverain (Level3, Cogent et Hurricane sont tout les trois soumis au Patriot Act).
On va dire que pour la tuyauterie, c’est à peu près bon, regardons les dessous. C’est tout de suite moins souverain…
C’est d’ailleurs assez curieux pour une société de sécurité informatique d’avoir des trackers Facebook et une fan page sur ce réseau social soumis au Patriot Act et collaborant directement avec la NSA, mais pourquoi pas… C’est bien mignon de claironner qu’on a développé un logiciel non soumis au Patriot Act, ce qui est au passage une tautologie pour une entreprise française, mais si on veut se positionner commercialement de manière sérieuse dans les solutions “PRISMproof”, on commence par éviter les trackers Facebook sur son site professionnel.
PRISMproof ?
Avant que vous ne me posiez la question “alors comment on fait pour échapper à PRISM”, je vais tenter de vous faire une (trop) brève réponse, elle n’est pas parole d’évangile mais elle ne vise qu’à vous donner des pistes, en fonction de vos activités (car il serait idiot de penser que nous avons tous les mêmes besoins et les mêmes exigences en matière de confidentialité, ce en fonction de nos activités) :
Oui, on conserve ses données de préférence sur le territoire national et encore, tout dépend… Vous imaginez bien que nous n’irons par exemple pas héberger Reflets.info ni même ce blog chez Numergie (le cloud by Bull / Amesys), ou dans le cloud de Thales.
Oui on chiffre son trafic (et tout son trafic), oui on utilise un VPN, mais pas n’importe lequel, on choisi correctement son point d’entrée, son point de sortie (ce en fonction du contexte à protéger lors de vos activités en ligne). J’ai fais le choix de privilégier de l’ OpenVPN (L2TP, c’est la loose). Je privilégie également une PKIx509 en PFS (Perfect Forward Secrecy). Le PFS a une vertu : même si la clé master tombe dans les mains de la NSA, elle ne pourra pas déchiffrer tout le trafic, il lui faudra casser de la clé session par session… ce qu’elle ne manquera pas un jour de faire, sachez le !
Non, on utilise pas son VPN pour aller superpoker tout son carnet de contact chez Facebook !
On durci son navigateur, par exemple avec JonDoFox et en utilisant, au cul du VPN, un bridge TOR, et des proxys différents pour les autres applications (mail, chat etc… que l’on chiffre également… PGP, OTR tout ça …)
Pour une sécurité accrue, on recommandera l’utilisation de machines virtuelles, ce afin d’isoler les différents contextes liés à nos différentes activités (une vm sous GNU/Linux pour les mails, qui sort en Suisse, une vm pour bittorrent, qui sort en Suède, etc…)
Oui c’est plus lent, mais vous apprendrez plein de choses passionnantes et vous corrigerez vos comportements en ligne pour gagner en confidentialité et en sécurité.
Enfin, on gardera en tête qu’il n’y a pas de secret numérique éternel : toute donnée chiffrée sera déchiffrable un jour ou l’autre (les américains stockent le trafic chiffré, et c’est bien dans le but de le déchiffrer un jour ! Pensez donc à l’anonymiser)
D’une manière générale, ne croyez jamais un commerçant qui affirme vous rendre 100% anonyme sur le Net, c’est forcément un menteur. D’une manière générale ne croyez jamais une personne qui après 20 lignes pour vous expliquer PRISM conclura par “la preuve, j’ai moi même développé la solution qui garantie la confidentialité de vos données“, car ce dernier n’a non seulement rien prouvé, mais c’est très probablement un menteur. Et en matière de confidentialité, il y a certains pays ou ces menteurs peuvent finir avec des morts sur la conscience…
Cette fois, c’est là fin ! Oui encore une fois ! La fin de la cyber paix, Internet est bientôt en guerre. Et ça va être une véritable boucherie, la cyber apocalypse. Rien n’y résistera, ni les centrales nucléaires, ni le respirateur artificiel de belle-maman, ni le pacemaker du chat, ni votre frigidaire, pas même votre cafetière ! La fin des internets tels que nous les avons connus jusque là. C’est Reuters qui le dit, c’est forcément du lourd, d’ailleurs si la presse reprend cette information, c’est que la menace est sérieuse et imminente non ?
Les spécialistes de la cybersécurité connaissent d’innombrables moyens par lesquels des hackers peuvent semer le chaos en piratant des infrastructures essentielles ou en infiltrant les systèmes informatiques d’entreprises pour dérober des données ou procéder à de l’espionnage industriel, mais c’est ce qu’ils ignorent encore qui les inquiète le plus.
Des spécialistes de la cybersécurité inquiets de ce qu’ils ignorent, des hackers qui sèment le chaos… on est tous foutus. Si même les experts de la cybersécurité ont peur, c’est qu’on est dans une sacrée merde, c’est moi, Reuters, qui vous le dit ma p’tite dame.
Cette gangrène, rien ne pourra l’arrêter, c’est même surement déjà trop tard :
Les experts s’interrogent en effet sur les bombes à retardement qui pourraient infecter-ou même avoir déjà contaminé- certains réseaux informatiques.
Même le boss de la NSA est d’accord, c’est dire !
Pour Keith Alexander, directeur de l’Agence de sécurité nationale américaine (NSA), il ne fait aucun doute que les cyberattaques vont gagner en ampleur.
Gagner en ampleur ?! Dis moi pas que c’est pas vrai ! C’est nouveau ça ! Avant les cyberattaques elles ne gagnaient pas en ampleur hein dis Reuters ! Il plaisante le monsieur de la NSA, c’est pas vrai hein dis ?! Merde, le Figaro aussi le dit !
“Les attaques à visée de perturbation ou de destruction dirigée contre (les Etats-Unis) vont empirer”, a-t-il déclaré lors du sommet sur la cybersécurité organisé par Reuters cette semaine. “Retenez bien ceci: cela va aller en s’aggravant.”
Merde, alors c’est vraiment du lourd, si même au Defcon ils en ont pas parlé et qu’ils en parlent chez de vrais spécialistes (à une sauterie organisée par Reuters), c’est que c’est la fin des Intertubes ! Et ça va “aller en s’aggravant !” retenez le bien ! C’est bon là ? C’est imprimé ?
“Le ‘connu inconnu’, c’est ce qui m’inquiète”, a dit la secrétaire à la Sécurité intérieure Janet Napolitano.
C’est vrai que quand on y pense bien… un truc qu’on connait mais qu’on connait pas, c’est flippant quand même… non ? Genre un jour t’es sur le canapé, dans ton salon, tranquille, tu mattes “Les chtis marseillais contre les robots mixeurs mutants venus de l’espace II” que tu viens de choper en VOD grâce à la PUR sélection que ton FAI te propose, et là… sans prévenir, ta femme que tu connais depuis avant ton premier CDRom AOL, rentre de chez le coiffeur, teintée en blonde ! Le truc connu inconnu quoi, tout flippant. D’ailleurs elle t’explique bien le truc Janet :
“Par exemple, nous ne connaissons pas l’identité de l’ensemble de nos adversaires qui tentent de commettre des crimes ou d’agir sur les réseaux informatiques. Ce que nous connaissons, nous pouvons le gérer. C’est ça le ‘connu inconnu'”, a-t-elle expliqué.
Les agents du chaos, qu’on ne connais pas, en fait, on peut pas trop les gérer. Par contre les agents du chaos qu’on connait, ça on peut. Donc on a moyen la trouille de ceux qu’on peut gérer, mais ceux qu’on connait pas, comme les hackers chinois d’AQMI réfugiés politiques en Iran, ceux là, ils sont vraiment, vraiment flippants ! On ne sait pas trop s’ils existent, mais imagine un peu qu’ils existent, hein ?! Comment tu fais hein ?! Dis !?
Mais il y a encore pire… et ouais ! Débranchez vite vos frigos et vos cafetières nous risquons une cyber apocalypse !
Une autre menace à prendre en compte est celle qui résulte de l’essor des appareils connectés, une évolution qui élargit le champ des cibles potentielles.
C’est clair que si en plus des hackers chinois d’AQMI réfugiés politiques en Iran, les frigos et les cafetières s’y mettent, personne n’y survivra.
“Très bientôt votre cafetière et votre réfrigérateur seront eux aussi des vecteurs d’attaques parce qu’ils seront raccordés à internet”, a prévenu Michael Daniel, coordinateur de la politique de cybersécurité à la Maison blanche.
D’ailleurs, moi aussi un jour, j’ai vu un nabaztag, c’était un vecteur d’attaque, je ne le savais pas au debut, je l’ai appris quand ma femme me l’a collé en travers de la tronche le jour où j’ai mis un cron pour lui demander de servir l’apéro à 19h30… on ne se méfie jamais assez des vecteurs d’attaque avec une gueule de lapin crétin…
Les pédonazis, ça au moins, c’est connu, mais les mixeurs pédonazis ?! Hein ?! Tu fais quoi contre les mixeurs pédonazis terroristes ? OpenOffice compile même pas dessus !
Après cette terrifiante lecture, en tant que citoyen, j’ai décidé de réagir en écrivant une question parlementaire pour mon député, à destination de Fleur Pellerin, de François Hollande, de la Navy , des hackers chinois et des forces inter-armées de l’Empire :
L’absence de régulation financière a provoqué des faillites. L’absence de régulation des chipsets électroménagers provoque chaque jour des victimes ! Combien faudra-t-il de pizzas décongelées pour que les autorités réagissent ? Combien faudra-t-il de morts suite à DDoS sur des pacemakers ? Combien faudra-t-il d’adolescents brulés au 3e degré suite à une infection du chauffe-eau ? Combien faudra-t-il de fours micro-ondes explosant aux quatre coins du monde ? Combien faudra-t-il de créateurs ruinés par le pillage du minibar de leur limousine ? Il est temps, mes chers collègues, que l’on backport OpenOffice sur NespressOS pour réguler ce mode de communication moderne envahi par toutes les mafias du monde.
Voici une information qui risque d’avoir l’effet d’une petite bombe, aux USA, et probablement ailleurs. Sur Reflets comme sur ce blog, nous avons souvent pointé du doigt de “grandes démocraties” qui font un usage immodéré des technologies de surveillance de masse. D’une certaine manière, l’usage de ces technologies est un excellent baromètre des dérives de certains pays. Et en matière de dérive, les USA sont définitivement champions du monde.
Ca se passe mercredi dernier sur CNN, Erin Burnett reçoit Tim Clemente, un ancien agent du FBI pour aborder les méthodes d’investigations qui ont conduit à l’arrestation de Tamerlan Tsarnaev dans le cadre de l’enquête des services américains sur le récent attentat du marathon de Boston. Les autorités américaines s’intéressent alors aux conversations téléphoniques entre Katherine Russell, la veuve du suspect décédé, et Tamerlan Tsarnaev. Quand Erin Burnet demande à Tim Clemente si les enquêteurs seraient en mesure de mettre la main sur ces conversations, Tim Clemente est catégorique : oui, les autorités ont bien la possibilité d’accéder à ces conversations !
Tamerlan Tsarnaev faisait il l’objet d’une attention spécifique qui aurait conduit les autorités à le placer sur écoute ? Non ! L’explication de Tim Clemente est simple : TOUTES les conversations des citoyens américains sont enregistrées, archivées, et indexées dans une gigantesque base de données à laquelle les autorités peuvent accéder dans le cadre d’enquêtes sur des questions de sécurité nationale. Tim Clemente prévient cependant que ces conversations ne seront probablement présentées comme pièces à conviction devant le tribunal mais qu’elles permettront sans doute aux enquêteurs de comprendre tous les détails de l’affaire.
BURNETT: “So they can actually get that? People are saying, look, that is incredible.
CLEMENTE: “No, welcome to America. All of that stuff is being captured as we speak whether we know it or like it or not.”
Pas besoin de l’autorisation d’un juge, ces enregistrements sont systématiques, pour toutes les communications. Et il ne s’agit évidemment pas que des communications téléphoniques… nous parlons ici de toutes les communications électroniques des américains, de quoi faire froid dans le dos quand on se rend compte que même en France, les services de messagerie les plus utilisés sont… américains.
Reçu le lendemain par Carol Costello, toujours sur CNN, Tim Clemente enfonce le clou en confirmant ses dires : il n’y a aucune communication numérique sécurisée, tout est intercepté, email, chat, recherches…
Le Guardian rappelle que ce n’est pas la première fois que de fortes suspicions planent. En 2010, Mark Klein, un ancien ingénieur d’AT&T avait révélé au Washington Post comment AT&T avait mis en place un dispositif d’interceptions massives et globales, avec un accès complet aux interceptions donné à la NSA. Et les chiffres font mal au crâne :
Every day, collection systems at the National Security Agency intercept and store 1.7 billion e-mails, phone calls and other types of communications.
1,7 milliard de communications sont enregistrées quotidiennement. Techniquement le dispositif consiste en une installation spéciale, dans un bâtiment situé non loin du coeur des installations d’AT&T. La technologie, vous la connaissez évidemment tous si vous suivez Reflets ou ce blog, il s’agit bien de Deep Packet Inspection pour l’analyse de contenus, avec des sondes développées par Narus, un concurrent direct de nos amis de Qosmos.
Le Guardian nous rappelle également que William Binney, un ancien agent de la NSA avait démissionné de l’agence pour protester contre cette surveillance de masse. Car les abus sont visiblement légion. Le programme Total Information Awareness que le Pentagone avait tenté de mettre en place en 2002, suite aux attentats du 11 septembre, avait profondément choqué l’opinion. Ce dernier est finalement revenu par la petite porte.
Enfin si vous êtes utilisateurs de Blackberry, sachez que la NSA a clairement accès à l’ensemble de vos conversations qui sont systématiquement archivées. Il n’est pas non plus déraisonnable de penser que les iPhone d’Apple sont de véritables SpyPhones et que les services américains accèdent à de nombreuses données personnelles de ses utilisateurs… et oui, Android aussi.
Allons un peu plus loin maintenant. En France, le pays des droits de l’homme, ce genre d’interception systématique serait parfaitement illégal. Du moins ce qui est illégal c’est de le faire soi même. Mais dans quelle mesure les services français demandent à leurs homologues américains l’accès à des données personnelles de français… ont ils seulement besoin de les demander ou accèdent ils naturellement à ces données via un réseau de “coopération” mis en place conjointement par les services français et américains ?
Bienvenu dans le 21e siècle, le siècle qui relègue Orwell au rang de bisounours.
On se doutait bien que le chateau de sable de l’ami Kim allait vite s’effondrer. Le marketing sur la crypto, c’est bien, l’implémentation correcte de mécanismes de chiffrement c’est mieux. J’avais, aux côtés de certains autres sceptiques, déjà émis les plus grandes reserves concernant l’utilisation de ce service en tentant de vous expliquer que la sécurité de Mega était bancale.
Il n’aura donc fallu que 48 heures pour que Steve Thomas ne vienne confirmer nos soupçons. Le p0c consiste en un cracker de mots de passe pour les fichiers “protégés” sur Mega. Il utilise le lien de confirmation de votre inscription. Ce dernier ne contient pas que le hash de votre mot de passe mais contient également votre clé privée chiffrée, et comme l’explique l’auteur, une fois cette dernière crackée, TOUS vos fichiers peuvent être déchiffrés. C’est le premier très serieux p0c venant confirmer nos craintes.
Particuliers comme entreprises, planquez bien vos liens de confirmations… you’re already p0wn3d.
Cracks a Mega password from a confirmation link. Do NOT post your confirmation link because it contains not only a hash of your password but your encrypted master key. Once the master key is disclosed all your file can be decrypted.
./megacracker-64 [options]
-h|–hash=<string> Confirmation link.
-H|–hash-file=<file> File with confirmation links.
–help Display help and exit.
-i|–input=<file> File with passwords to test [default is stdin].
-I|–input-precomp=<file> File with pregenerated data.
-o|–output=<file> Output data to use later.
Copyright (c) 2013 Steve Thomas <steve AT tobtu DOT com> This is free software: you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation, either version 2 of the License, or (at your option) any later version. There is NO WARRANTY, to the extent permitted by law.
————— There are at least six things in the confirmation link: * Encrypted master key (16 bytes) * Password hash (16 bytes) * Unknown field (15 bytes?) * Email address * Name * Unknown field (8 bytes?) This will extract the password hash and crack it. This will except confirmation links in these forms (You can truncate the data after #confirm to 43 characters): * https://mega.co.nz/#confirm……………………………………. * mega.co.nz/#confirm……………………………………. * #confirm……………………………………. * ……………………………………. If you want to generate some you can run this in your web browser’s console: var pw_aes = new sjcl.cipher.aes(prepare_key_pw(“password”)); base64urlencode( a32_to_str( encrypt_key(pw_aes, [rand(0x100000000),rand(0x100000000),rand(0x100000000),rand(0x100000000)]))+ a32_to_str( encrypt_key(pw_aes, [rand(0x100000000),0,0,rand(0x100000000)]))); dqKqDkwkeaJZCSm8gOUTRsgil2fSec1H4J0i2Z8aIbg
This is a precomputed list of passwords. You can use this with -I|–input-precomp:
https://mega.co.nz/#!rYkkTYzA!B_qWf18rDV4NrXAFM4vwwCdYhvRY14zkFyMITAMQSeY
La presse, du moins une certaine presse, a tendance à attribuer des supers pouvoirs au nouveau jouet la nouvelle pompe à cash de l’ami Kim Dotcom. Il y a tout d’abord l’aspect sécurité et le blindage tout relatif que nous avons un peu abordé ici. Mais on ne sait trop par quel raccourcis intellectuel certaines personnes assimilent la sécurité d’une infrastructure web à l’anonymisation des utilisateurs.
L’anonymat est une question complexe. On anonymise un flux de données par le biais du chiffrement, mais ceci ne suffit pas, loin de là. Une source d’upload dont le contexte n’est pas protégé est à peu près tout ce que vous voudrez mais certainement pas anonyme !
Mega ne propose strictement aucune solution d’anonymisation et se paye même le luxe d’une assez fumeuse politique de rétention et d’utilisation des données personnelles que Zataz expose d’ailleurs très bien ici. En plus des données normales de trafic que Mega stockera (mais combien de temps ?), l’ami Kim se réserve le droit d’exploiter vos informations bancaires, et le monsieur en connait un rayon, puisqu’il a été condamné 1998 pour plusieurs fraudes à la carte bleue.
“Nous pouvons utiliser les informations que nous détenons sur vous, en tant que client, concernant votre solvabilité. Nous pouvons fournir cette information à une autre personne – évaluation du crédit et à des fins de recouvrement de créances -.“
Dans le genre intrusif, on peut difficilement faire mieux. Bref si vous êtes un uploadeur compulsif faisant commerce de vos warez, soyez prévenus, c’est pas Kim vous fera des cadeaux et vous n’êtes _en rien_ anonymisés.
Nos récents articles sur Reflets, celui sur Syria News, et celui sur le Parlement syrien, comme chaque fois lorsque l’on parle de la Syrie, ont soulevé quelques commentaires exprimant une certaine perplexité. Ces commentaires sont parfois parfaitement construits et expriment des interrogations et des réserves parfaitement légitimes. Nous essayons donc de répondre à ces commentaires, et c’est aussi un peu l’objet de ce billet. D’autres, plus péremptoires se veulent des leçons de geopolitique de comptoir, dispensées par des personnes qui, sous prétexte d’avoir rencontré deux syriens à leurs dernières vacances au ClubMed affirment que notre démarche est motivée par d’obscurs intérêts, que nous serions à la solde de la CIA, du Mossad, du MI6, quand nous ne cherchons pas à instaurer la Charia dans le Proche-Orient.
Notre réalité est cependant bien différente. Nous avons engagé une forme de lutte pacifique qui se limite en une réponse mesurée à ce qu’applique le gouvernement syrien en terme de propagande, de répression et de surveillance électronique.
Le gouvernement syrien, avec l’aide d’entreprises locales ou occidentales a décidé d’exercer une surveillance active de son réseau. Le but est clair, il s’agit de :
prévenir la diffusion de toute information qui lui serait défavorable ;
localiser, arrêter, torturer les émetteurs de ces informations, de ces documents vidéo ;
mener une propagande active à la gloire de la personne de Bachar Al Assad, tyran népotique au culte de sa propre personne bien affirmé.
En ce qui me concerne, et ceci n’est probablement pas valable pour d’autres qui s’engagent eux aussi, je puise ma motivation de nombreux échanges avec des syriens. Certains anti régimes qui ont vu leurs proches massacrés ou persécutés, mais surtout par une majorité de gens qui ne sont ni pros, ni antis, mais qui subissent au quotidien, depuis 18 mois, une guerre civile.
Je ne pense pas personnellement me battre pour une démocratie en Syrie, le terme démocratie étant lui même soumis à interpretation de chacun, même chez nous. Encore faut-il croire en nos définitions de la démocratie, et bien naif faut-il être pour penser que notre conception de cette dernière est transposable n’importe où.
Si je m’engage sur ce terrain cybernétique qui est le mien, c’est d’abord pour essayer de rétablir un équilibre entre un régime qui déploie de gros moyens pour surveiller Internet, et des internautes qui souhaitent accéder à une information que le régime lui refuse.
Puis, et c’est bien la le coeur de mon action, pour apporter des outils et des connaissances nécessaires à l’exercice de la liberté d’expression bafouée de ces internautes. Ceci passe par des outils d’anonymisation sur Internet et parfois, il est vrai, quelques prises de bec peu courtoises avec des “professionnels” qui mettent involontairement la vie de leurs sources en danger. Mais penser que nous faisons ça pour le plaisir de taper sur la presse est parfaitement inexact. C’est en revanche l’impression que ça peut laisser de l’extérieur, attendu que nous ne communiquons, que je ne communique pas sur toutes (nos) mes actions.
Mais par dessus tout, après 18 mois de conflit, il y a cette majorité silencieuse des “ni pour ni contre” qui se sent abandonnée par toute la communauté internationale, ce sont eux que nous n’avons pas le droit de laisser tomber, ce sont eux qui ont probablement besoin d’être considérés.
☠ Pourquoi le Parlement ?
C’est un symbole avant tout, derrière ce symbole, il y a un message informationnel, n’en déplaise à certains. Ce message, c’est d’offrir des données brutes, des accès à des comptes de dignitaires syriens. Le message est dual, il s’adresse au peuple syrien : “Des personnes surveillent vos surveillants”, et il s’adresse à la presse car nous offrons l’accès à des données brutes, factuelles, des correspondances, la capacité pour chacun s’il en a la curiosité de se faire sa propre opinion d’un conflit complexe.
Penser que nous agissons au doigt mouillé en fonction des like Facebook ou des hashtags Twitter est une erreur. Nous agissons pour le réseau, et non en fonction du réseau.
Internet est un réseau public, basé sur des interconnexions entre opérateurs. Ces interconnexions sont libres, elles dépendent des infrastructures disponibles, donc des bonnes volontés ou des appétits commerciaux de sociétés ou d’institutions, souvent un savant mix des deux, des quatre. Il y a cependant un autre paramètre moins avouable : la doctrine militaire d’une nation en matière de SIGINT (Signal Intelligence, ou renseignement d’origine électromagnétique). Comme Internet est un réseau public, il est aisé de trouver des données concernant les interconnexions optiques assurant la connectivité internationale d’opérateurs ou de pays entiers. Ainsi, il est très simple, pour une personne un peu curieuse, de détecter les particularités de chacun.
On trouvera par exemple assez aisément les fibres optiques transatlantiques indispensables pour que Google et Youtube puissent assurer leurs services en Europe, on découvrira aussi la steppe numérique de Corée du Nord qui assure l’intégralité de son trafic Internet par le biais d’un satellite chinois, ou encore… la connectivité internationale de la Syrie. Mais qui surveille qui au juste ?
La toile
Les câbles sous-marin assurent une énorme partie du transit IP d’un continent à l’autre, d’un pays à l’autre. Il existe des cartes de ces câbles sous-marins, elles sont parfaitement publiques et nous allons voir que concernant la Syrie, elles nous donnent beaucoup d’informations.
La connectivité internationale de la Syrie est principalement assurée par 3 câbles sous-marins, pour une capacité de 11,2 Gbps.
Première information capitale, ces 3 câbles ont un landing point situé au même endroit, dans la ville de Tartous. Étrange coincidence, c’est dans cette ville que la Russie dispose d’une base navale. Des rumeurs insistantes voudraient que la famille al Assad y ait un temps trouvé refuge quand des affrontements se tenaient à Damas. Tartous est une ville côtière stratégique, probablement l’un des meilleurs endroits par lesquels Bachar al Assad pourraient envisager une sortie précipitée s’il trouvait à tout hasard une porte de sortie vers… la Russie.
Mais revenons à ce qui nous intéresse, c’est à dire ces 3 câbles sous-marin :
Le premier, UGARIT, d’une capacité de 1,2 Gbps, relie Tartous à Pentaskhinos (Chypres).
Le second, ALETAR, d’une capacité de 5Gbps, relie Tartous à Alexandrie (Égypte).
Le dernier, BERYTAR, luis aussi d’une capacité de 5Gbps, relie Tartous à Beyrouth (Liban).
BERYTAR a une particularité intéressante, il est une liaison directe et exclusive entre les deux pays. Pour Beyrouth, ce câble est “vital” en terme de connectivité puisque le seul autre câble sous-marin partant de la capitale libanaise et reliant Beyrouth à Pentaskhinos, dispose d’une capacité relativement anecdotique (0,622 Gbps) en comparaison de BERYTAR et de ses 5 Gbps. BERYTAR déssert également les villes libanaises de Saida et Trablous (source).
Les grandes oreilles waterproof… ou pas.
Pour qui veut écouter le trafic entier d’un pays, il faut commencer par créer des points de centralisation. Vous aurez compris que les landing points de transit IP des câbles sous-marin sont une pièce de choix pour qui veut jouer les Amesys en herbe. Où qu’ils se trouvent, particulièrement ceux qui désservent de grandes démocraties, comme, au pif les USA, ces câbles sous marins sont wiretapés, c’est à dire écoutés. Comme il est complexes, sur des très grosses liaisons, de traiter des interceptions en temps réel, les surveillants se retournent vers de l’interception basée sur des listes de mots clés, un peu sur le même principe qu’Echelon, mais en quand même un peu plus élaboré.
Aussi, on sait aujourd’hui surveiller sur ce type de liaisons un protocole particulier, comme Skype, ou des sites précis… comme Youtube. Nous avons publié sur reflets des éléments matériels attestant de cette surveillance. S’il peut s’averer complexe, voir impossible de décrypter toutes les communications Skype, il est en revanche d’une déconcertante simplicité d’identifier une connexion de l’un des deux FAI gouvernementaux syriens entre un opposant et une adresse IP appartenant à des plages IP de l’AFP. Vous comprendrez donc, à la lumière de ces éléments, la colère de certains d’entre nous (les barbus des Intertubes, pas du terrain) quand nous observons l’AFP, écrire en toutes lettres dans ses dépêches qu’elle contacte ses sources via Skype.
Ces dispositifs reposent sur une technologie bien de chez nous dont je vous rabat les oreilles depuis un bon moment, le Deep Packet Inspection, à l’origine destinés à assurer de la qualité de service, à “comprendre ce qu’il se passe sur un réseau” pour reprendre les termes d’Eric Horlait, co-fondateur de Qosmos. Le DPI, est, par extension, devenu l’arme numérique de prédilection de maintes dictatures pour traquer des opposants… ce grâce à l’éthique en toc de quelques entreprises comme Amesys, Cisco, et beaucoup d’autres. D’abord pour de l’écoute légale, en ciblant un certain nombre de connexions, puis, comme le préconise Amesys dans ses brillants exposés, en écoutant l’ensemble des communications d’un pays, en les enregistrant dans une base de données, puis en procédant par extraction.
Quand on est une puissance étrangère et que l’on a pas un accès direct aux landing points assurant la connectivité internationale du pays que l’on veut écouter, on peut par exemple, disposer de navires d’interception dotés de capacités d’écoute des câbles sous-marin. La France dispose de ce type de navire.
Dupuy-de-Lôme, navire collecteur de renseignements d’origine électromagnétique de la Marine nationale française (Source Wikipedia)
La France dispose également d’un autre atout, elle déploie et exploite certains de ces câbles, et certains d’entre eux ont une desserte stratégique, comme par exemple, le récent EIG (Europe India Gateway), en blanc sur la carte ci-dessous, et ses 14 landing points. EIG a été déployé par Alcatel Lucent, et en ce qui me concerne j’ai un peu de mal à croire que l’entreprise franco-américaine ne s’est pas assurée quelques sales blanches dans des landing points bien situés pour être en mesure d’intercepter de manière ciblée une partie du trafic.
L’interception des communications sur les liaisons sous-marines n’est que l’une de la demi douzaine de disciplines que compte le SIGINT. Elle s’avère souvent délicate pour une seule raison : les importants débits de certaines de ces liaisons offrent trop d’informations qu’il devient alors complexe de traiter en temps réel. Aujourd’hui des sondes qui opèrent de l’interception en profondeur de paquets savent écouter des liaisons d’un débit de 100 Gbps. Ensuite, ce n’est qu’une question de capacité de traitement, mais pour cette problématique du traitement, les architectures sont scalables, ce n’est donc pas un frein technologique, il suffit d’y mettre les moyens.
Le Ministère des Télécom libanais à hauteur de 46.875 %
Le Syrian Telecom Establishment (STE) à hauteur de 46.875 %
Arento (Espagne) à hauteur de 6.25 %
Les gens de la STE sont des gens assez sympas, nous allons le voir, qui sous-traitent leurs basses besognes à des entreprises locales qui prétendent faire de la sécurité informatique. Quand on jette un oeil à leur timeline Twitter, on comprend vite ce à quoi ils passent leur temps, la sécurité en question, c’est plutôt de la surveillance qu’autre chose.
Nous savons que le régime syrien a, à maintes reprises, marqué sa volonté de contrôler Internet à des fins de surveillance et de contrôle de l’information : empêcher les activistes d’envoyer des vidéos ou même d’empêcher l’utilisation de solutions d’anonymisation des flux Internet afin de mieux localiser les opposants. OpenVPN est par exemple totalement inopérant en Syrie (notamment grâce à Fortinet), les activistes doivent se tourner vers le réseau TOR, bien plus compliqué à bloquer.
Les réfugiés syriens en Jordanie, en Turquie ou au Liban sont ils en sécurité ? Peuvent-ils communiquer librement ? La réponse courte est :
non, et tout particulièrement au Liban
BERYTAR, le seul tuyau qui relie le Liban à la Syrie est d’une capacité idéale pour réaliser des interceptions globales en temps réel en utilisant de l’inspection en profondeur de paquets (DPI). Si Qosmos dit vrai et qu’il s’est finalement retiré du consortium européen pour le projet ASFADOR, le régime syrien a probablement trouvé, ou trouvera une autre entreprise pour le mettre en place.
Attention, cette information vaut pour TOUS les journalistes qui travaillent depuis les “bases arrières” et se pensent, eux et leurs sources en sécurité. Communiquer avec la Syrie implique donc 2 choses :
le chiffrement des données afin que les autorités syriennes ne puissent pas lire le contenu des communications
l’anonymisation des flux afin que les autorités syriennes ne puissent pas identifier émetteurs et récepteurs.
Tout journaliste qui ne procède pas à ces deux précautions met sa vie et celle de sa source en danger.
Il y a quelques temps de cela, je vous avais raconté la belle histoire de Sam Synack et de la compromission totale de plusieurs millions de Neufbox. Certes, celle que je vais vous raconter aujourd’hui est moins spectaculaire, mais gageons que ce n’est que par manque de temps. Quand j’ai aménagé dans mon dernier appartement que j’ai voulu et choisi dans un périmètre de moins de 100m du NRA le plus proche, j’ai eu la mauvaise surprise de découvrir que ma ligne était raccordée sur un autre NRA, beaucoup plus loin et que ma dite ligne accusait une atténuation théorique de 82db. La bête, pas folle, avait choisi un immeuble câblé… enfin câblé. Avec des prises pas aux normes, problème que Numericable n’a jamais su détecter et que le technicien Bouygues a finalement refait de A à Z, surpris qu’il était que j’arrive à pinguer le premier routeur avec ce modem Castlenet backdooré et dont le wifi se couche dés qu’il prend 20 flux nntp dans la tête. Vous ferez une expérience sympa si vous êtes chez Numericable, quand le net tombe, scannez votre réseau, vous aurez la petite surprise de découvrir une interface de votre modem non documentée… et faillible.
Ce qui m’amène aujourd’hui ce n’est pas vraiment Numéricable… enfin si en fait, vu que les Bouygues Box vendues pour des “BBox fibres” sans port optique et qui n’ont strictement rien à voir avec de la fibre (oui c’est clairement de la pub mensongère, un peu comme si je disais que ma connexion RTC est une connexion fibre puisqu’elle passe par une fibre transatlantique quand je tweete), sont en fait connectées au réseau de Numéricable. Bouygues n’opère donc pas son propre réseau.
L’histoire commence comme d’habitude assez banalement, je cherche sur l’interface de la BBox le moyen de rentrer mes propres DNS pour que tous mes équipements puissent en profiter sans avoir à me taper tous les hosts files de mes machines.Et bien sachez qu’une telle interface n’existe pas sur les BBox, ce qui est tout bonnement inadmissible.
Une interface a cependant attiré mon attention, c’est celle des caractéristiques techniques de la ligne câble. On y découvre une IP LAN en 10.x.x.x. Il s’agit en fait de l’IP de votre BBox sur le LAN de Numéricable.. Elle vient donc en sus de votre IP publique et de l’IP sur votre LAN à vous (celle en 192.168.x.x).
Cette ip est accessible dans les caractéristiques de ligne, sans aucune authentification… ce qui est bien mais franchement pas top monsieur BouyguesBox Fibre Canada Dry. Vous voulez que je vous montre pourquoi ?
Avec mon ordinateur j’essaye de pinguer le voisin
$ ping 10.109.88.18
PING 10.109.88.18 (10.109.88.18): 56 data bytes
Request timeout for icmp_seq 0
36 bytes from border1.ge1-4.giglinx-17.sje003.pnap.net (66.151.157.225):
Destination Host Unreachable
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 5400 3a8d 0 0000 3c 01 d4ff 10.8.2.150 10.109.88.18
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
Request timeout for icmp_seq 3
Request timeout for icmp_seq 4
Request timeout for icmp_seq 5
--- 10.109.88.18 ping statistics ---
7 packets transmitted, 0 packets received, 100.0% packet loss
… Ça ne passe pas, rien de plus normal, on voit ce que ça donne avec nmap pour dire bonjour au voisin :
$ sudo nmap -sS 10.109.88.17 10.109.88.18
Password:
Starting Nmap 5.51 ( http://nmap.org ) at 2012-03-21 00:55 CET
Nmap scan report for 10.109.88.17
Host is up (0.033s latency).
Not shown: 997 closed ports
PORT STATE SERVICE
25/tcp filtered smtp
554/tcp open rtsp
7070/tcp open realserver
Nmap scan report for 10.109.88.18
Host is up (0.32s latency).
Not shown: 991 closed ports
PORT STATE SERVICE
22/tcp filtered ssh
23/tcp filtered telnet
25/tcp filtered smtp
80/tcp filtered http
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
554/tcp open rtsp
7070/tcp open realserver
La box du voisin vient de me répondre… et ça, ça commence à être déjà plus surprenant. On va lui demander de se présenter un peu plus en détail.
$ sudo nmap -sS 10.109.88.17 -A 10.109.88.18
Nmap scan report for 10.109.88.18
Host is up (0.13s latency).
Not shown: 991 closed ports
PORT STATE SERVICE VERSION
22/tcp filtered ssh
23/tcp filtered telnet
25/tcp filtered smtp
80/tcp filtered http
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
554/tcp open tcpwrapped
7070/tcp open tcpwrapped
Network Distance: 3 hops
TRACEROUTE (using port 3306/tcp)
HOP RTT ADDRESS
- Hop 1 is the same as for 10.109.88.17
2 624.42 ms 10.109.64.1
3 503.04 ms 10.109.88.18
Tiens, le Traceroute nous en apprend une bien bonne, nous avons un invité mystère sur 10.109.64.1… on va donc voir ce qu’il nous raconte
$ sudo nmap -sS 10.109.88.17 -A 10.109.64.1
Nmap scan report for 10.109.64.1
Host is up (0.18s latency).
Not shown: 994 closed ports
PORT STATE SERVICE VERSION
22/tcp filtered ssh
23/tcp filtered telnet
25/tcp filtered smtp
554/tcp open tcpwrapped
2126/tcp open cops Common Open Policy Service (COPS)
7070/tcp open tcpwrapped
No exact OS matches for host (If you know what OS is running on it, see http://nmap.org/submit/ ).
Network Distance: 2 hops
Service Info: Host: ORL1CC
TRACEROUTE (using port 80/tcp)
HOP RTT ADDRESS
- Hop 1 is the same as for 10.109.88.17
2 525.31 ms 10.109.64.1
Notre invité mystère est donc monsieur QoS. C’est donc la machine à DDoSSer si vous êtes en LowID sur Emule. Le /24 révèle des choses pas toujours très jolies jolies, il semble que quelques box soient carrément en mode open bar…
Nmap scan report for 10.109.64.243
Host is up (0.037s latency).
Not shown: 990 closed ports
PORT STATE SERVICE VERSION
22/tcp filtered ssh
23/tcp filtered telnet
25/tcp filtered smtp
80/tcp filtered http
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
554/tcp open tcpwrapped
5000/tcp open upnp?
7070/tcp open tcpwrapped
Mais il y a plus inquiétant… A votre avis, il se passe quoi si on dump les paquets pendant une mise à jour de la BBox ? Je n’ai pas tenté le coup pour tout vous avouer. Mais tout ceci ne m’inspire pas franchement confiance, j’ai l’impression d’avoir vu des trucs un peu plus solides que ça niveau réseau d’un FAI.
