Sécurité : l’après Snowden vu du smartphone d’un eurodéputé

Quand le scandale a été révélé, j’émettais déjà de sérieux doutes sur les postures indignées des politiques et sur notre capacité à réagir sérieusement. Aujourd’hui Médiapart révèle une affaire (accès payant) qui ne fait qu’apporter de l’eau à notre moulin. Des milliers de mails d’eurodéputés auraient été compromis, et Médiapart d’enfoncer le clou affirmant que bon nombre d’institutions restent des passoires.

Choix techniques ridicules (Microsoft Exchange), comportements irresponsables (on se connecte avec son smartphone au premier hospot public à la terrasse de café d’en face), manque cruel de sensibilisation la plus basique aux outils pourtant aujourd’hui indispensables (hein ? Quoi ? un VPN, c’est quoi ?)…

On peut blâmer les programmes de surveillance américains, mais qui faut-il blâmer quand on se rend compte que l’espionnage de nos institutions est à la portée de presque n’importe qui pour un budget d’une centaine d’euros ?

La démission résignée des utilisateurs

L’article de Mediapart nous apprends quelque chose que nous soupçonnions déjà : en plus d’utiliser Microsoft Exchange depuis une terrasse de café en wifi sur un smartphone, aucune authentification multi-facteurs n’est mise en place.

J’ai eu l’occasion de d’échanger avec des groupes politiques, français ou européens. Leur calcul est le suivant : comme leurs travaux étant destinés au public, ils estiment ne pas avoir à observer de mesures de sécurité particulières. Une marque de transparence ? De l’inconscience ? Je laisse à chacun se faire son opinion là dessus mais celà ne revient-il pas au fameux “je n’ai rien à cacher”.

Le mail est un outil d’importance vitale dans le quotidien d’une formation politique, c’est par exemple par là que circulent des propositions de loi à peine à l’état d’ébauche. Intercepter en amont ce qui va devenir une proposition de loi, c’est s’assurer d’un lobbying ultra efficace. Et à votre avis ? Que font les américains ?

Insecurity by Design

D’une manière générale, la confidentialité des communications, c’est l’un des grands échecs du 21e siècle. Pourquoi ? Parce que tout a été fait, à la base, pour l’annihiler : centralisation, absence de couche de chiffrement native dans l’immense majorité des protocole, contre-éducation n’ayant jamais incité à observer de bonnes pratiques… Le pire, c’est qu’on ne peut pas passer notre temps à blâmer uniquement les utilisateurs, les industriels ont une grande part de responsabilité, tout comme les responsables informatiques qui ont relégué les utilisateurs au rang de gamin qu’on ne prendra surtout pas le temps d’éduquer… un grand mal du 21e siècle.

Aujourd’hui un responsable informatique qui offre les clés d’une administration en signant des contrats à Microsoft pour plusieurs millions d’euros devrait être viré pour faute lourde… Comme ce’ scandaleux contrat de 19 millions d’euros lui aussi révélé par Médiapart à destination du ministère de la défense :

EPSON MFP image

 

Administrations, mais aussi fournisseurs d’accès Internet offrant des services “pros” aux entreprises.

Démission des politiques

La député Isabelle Attard dresse elle même un constat fort juste du rapport que peuvent avoir les dirigeants face aux problématiques liées à la confidentialité des échanges à l’ère du tout numérique :

 « il y a une totale méconnaissance de ces problématiques par les décideurs politiques »« Quand nous évoquons ces sujets, la plupart de nos collègues ne nous prennent pas au sérieux, ou n’en voient pas l’intérêt. On me dit “Isabelle, tu exagères…”, voire “Tu es parano”, même sur les bancs socialistes. Nous avons récemment essayé de recenser les élus qui se sentaient concernés, et nous n’avons trouvé que 10-12 députés, tous bords confondus. »

Démission des professionnels

Face aux murs, au lobbying de puissantes entreprises américaines, les professionnels de la sécurité ou du logiciels libres sont eux aussi tentés de démissionner de leur rôle pédagogique. Un premier ministre peut signer toutes les directives favorables à l’utilisation du logiciel libre dans les administrations qu’il voudra… si ces administrations continuent de signer tout et n’importe quoi avec des Microsoft, des Google, des Oracle…. il ne faut pas s’étonner de les voir mourir ou aller chercher des débouchés ailleurs.

Un serveur web pour 5 patates : le prochain Kimsuffi d’OVH ?

Un serveur web “patate powered”, fallait y penser, il est capable de servir 0,2 pages par seconde avec une source énergétique 100% naturelle : 5 bonnes pommes de terre !

Avec un cageot entier, il serait possible de faire tourner Xorg si on se réfère à ce tutoriel. Avec un processeur PIC16F876 cadencé à 76.8 KHz pour 1.5V on obtient un équilibre puissance / consommation suffisant pour faire tourner un micro serveur web … une petite prouesse technique à partager au bureau entre geeks donc. Cette bidouille date déjà de 2000, vive le potatoe embeded 🙂

Une PME doit elle opter pour un abonnement internet professionnel ou 2 connexions grand public ?

Bonding Si vous gérez le réseau d’une PME, ou si vos connaissances n’excèdent pas le strict stade de la bureautique et que vous ne vous êtes même pas posé la question, ce post peut vous intéresser. Je m’interroge régulièrement depuis plus de trois ans maintenant, qu’y a t’il de plus fiable : une connexion professionnelle chez un opérateur compétent (comme Nerim ou Orange Pro) ? Ou bien deux connexions grand public sans garantie de fonctionnement ? J’ai personnellement opté pour le second choix. Je dispose d’une connexion Free dégroupée et d’une connexion Noos 30meg. J’ai en outre la chance d’habiter à moins de 1000m de mon DSLAM, ce qui fait de ma connexion Free une connexion plus performante et plus fiable.

Voici les avantages de ce choix :

  • En choisissant une connexion câble en plus d’une connexion DSL, on diminue les risques liées à la techno elle même : si le Noeud de Raccordement Abonnés (NRA) se prend un Airbus, une connexion câble fonctionne toujours car elle ne passe pas pas les paires de cuivre du téléphone et donc pas non plus par le NRA.
  • On bénéficie de deux adresses IP externes (IPV4) et si on est chez Free on bénéficie depuis peux de l’IPV6 permettant d’assigner des IP propres sur chaque bécanes… la classe.
  • Au lieu d’avoir une ligne spécialisée onéreuse avec peu de débit on en a 2 avec des débits confortables.
  • Et dernier argument … on peut faire copuler ces deux connexions !

Euh … montre moi ton gros tuyaux

Partant du constat simple que n’importe quel geek ferait aux périodes de noel, quand la pression du travail se fait moindre et qu’il faut beaucoup geeker pour supporter Tino Rossi à la TV :

24+30 = 54mb en download et 1+1 = 2MB d’upload… pas besoin d’être une brute en math jusque là.

Oui sauf que quand je suis sur une connexion, je ne suis pas sur l’autre donc c’est soit 24 soit 30 … ah moins que … à moins qu’en s’amusant un peu avec ces paquets magiques, je ne les fasse rentrer dans la banquise (une vieille bécane sous mélénusque réhabilitée pour l’occasion).

“Un seul pour les gouverner tous” : Melenusque r0x0r <3 #[email protected]!#[email protected]!#[email protected]

On rentre un peu plus dans le vif du sujet : comment agréger 2 connexions pour bénéficier d’un gros tuyaux au lieu de 2 petits et qu’en cas de défaillance d’une des deux connexions, mon réseau soit assez “intelligent” pour continuer à assurer le service avec une seule de ces deux connexions. Cette pratique (non BDSM) se nomme le bonding, c’est super bien documenté de tous les côtés. Je vais donc vous épargner un fastidieux tutoriel sur ce blog mais si ça vous intéresse je vous pose ma configuration sur un wiki ou quelque chose de plus approprié que ce blog.Cette petite bidouille a pour vocation de rendre transparent un soucis de connexion sur un réseau local et d’en améliorer les performances brutes. Je pense que de nombreuses PME devraient se pencher sur cette solution avant d’investir des sommes considérables dans une ligne spécialisée … donc voilà 2 connexions qui copulent en faisant du bonding non BDSM.Seule contrepartie en dehors des deux heures de bidouilles et de saines lectures nécessaires, si vous avez une connexion Free, il va soit falloir abandonner l’idée de l’IPV6 si la connexion de l’autre FAI ne le supporte pas ou bien il vous faudra router le trafic IPV4 et IPV6 chacun de leur cotés (ce qui n’est pas forcement ce que l’on souhaite).

Vous ne pourrez pas passer a côté de cet excellent tuto pour Debian sur Developpez.com

Jailbreaker son iPod touch ou son iPhone avec le firmware 1.1.2

Avec la récente commercialisation en France de l’iPhone, nous avons vu arriver un nouveau firmware rendant pas impossible, mais a peine un peu plus complexe le Jailbreak de votre appareil. Jailbreaker un iPhone ou un iPod Touch est une opération relativement simple qui vous permettra d’installer de nombreuses applications non fournies en standard avec votre appareil. Nous allons simplement ici vous indiquer les bonnes ressources puisque de nombreux tutoriels existent déjà pour les versions de firmware précédentes mais il en existe peu pour le firmware 1.1.2 adopté depuis la commercialisation de l’iPhone en France.

  • Première étape pour jailbreaker votre appareil : le downgrade vers le firmware 1.1.1 . Pourquoi downgrader ? Parceque le “jailbreak” est possible via une faille exploitant une vulnérabilité dans le format d’image Tiff du navigateur Safari, application fournie en standard. Le firmware 1.1.2 est venu corriger cette faille et l’exécution de code permettant l’installation du installer.app (le logiciel permettant d’installer les applications tierces) n’est plus possible avec le firmware 1.1.2
  • Seconde étape le jailbreak de l’appareil, pour ça il vous suffira de vous rendre sur Jailbreakme avec votre appareil qui se chargera d’exécuter l’exploit. Une fois crashé, vous retrouverez sur votre appareil le installer.app.
  • troisième étape : Il vous faudra ensuite installer OktoPrep qui préparera votre iPhone ou votre iPodTouch à l’upgrade vers le firmware 1.1.2 rendant possible l’installation de l’installer.app et de ssh sur cette version de firmware.
  • Quatrième étape : l’upgrade en 1.1.2 via iTune
  • Cinquième étape : re-jailbreak mais en 1.1.2 cette fois ci 🙂

Plutôt qu’un long discours, voici le lien sur un tutoriel (en anglais) décrivant toute la procédure. Ca fonctionne très bien et c’est pas compliqué du tout, j’ai testé cette méthode sur un iPod Touch et il fonctionne à merveille avec un max de nouvelles applications tierces.

Attention ne téléchargez pas n’importe quel firmware : utiliser le lien apple Downloads uniquement, beaucoup ont déjà eu des surprises.

Et voici aussi une petite vidéo pédagogique :

[wp_youtube]TXfcnO4kjB4[/wp_youtube]