Archives de catégorie : Sécurité

Le #PRISM à la française

Publié le par
Répondre

Bluettouf nous rappelle sur son site qu’en même temps que la nouvelle sur le programme PRISM sortait, Le Monde publiait un article sur un système d’écoute du trafic internet mise en place par la DGSE.

Ce qui est marrant, c’est que cette nouvelle est passée complètement inaperçu à cause de PRISM. Pourtant si on regarde de près, il s’agit de la même finalité : surveiller les gens sur Internet. Sinon que le système de la DGSE est plus intrusif que PRISM. Comme ils n’ont pas passé de contrat avec Microsoft and Co, ils utilisent du DPI via des installations hors du territoire. Le DPI leur permet de tout voir et non pas seulement les 8 gros géants du net, et comme les infrastructures ne sont pas sur le territoire, ils ne répondent pas à la loi française.
Comme les installations ne sont pas sur le territoire, ils ne voient que le trafic qui sort de France : ce qui est le cas lorsque vous allez sur Youtube, Google, Gmail, Apple, …, en gros une énorme partie de votre trafic.

En résumé, tout ce que vous faites, qui transite en dehors du pays, peut et doit surement être vu par les agents de la DGSE et ce en dehors de tout cadre légal, puisque les interceptions ne se font pas sur le territoire français.

La #NSA a accès aux serveurs des géants du net

Publié le par
Répondre

Le Guardian et le WashingtonPost rélèvent aujourd’hui que la NSA a accès aux serveurs, dans l’ordre chronologique, de Microsoft, Yahoo, Google, Facebook, PalTalk, YouTube, Skype, AOL et Apple. Dropbox devrait bientôt rejoindre le programme.
Ce programme, appelé PRISM, permet à l’agence gouvernementale de pouvoir lire les chats, les mails, les appels, etc. Son coût est de 20M $ par an.
Il a commencé en 2007, sous l’administration Bush et continue depuis.

Cette révélation a été permise grâce à un ancien employé de l’agence de renseignement qui a transmis au WashingtonPost un PowerPoint, classé Top Secret, détaillant le programme PRISM.

Les différents géants du net mis en cause dans le document réfutent la moindre communication avec la NSA sans décision judiciaire pour certains, d’autres disent ne pas avoir créés de portes dérobées pour la NSA, … Concernant la décision de justice, ce n’est pas nécessaire puisque le droit américain permet de surveiller les personnes qui ne sont pas sur le territoire sans décision d’un juge.

Ce genre de document nous rappelle que lorsque nous utilisons des applications d’entreprises états-uniennes, nos données sont soumises au droit états-uniens et que donc elles ne sont pas protégées de l’administration et de ses agences gouvernementales.

#Chronodrive stocke les mots de passe en clair

Publié le par
Répondre

Mise à jour : Chronodrive supprime les données bancaire lorsqu’on tape trois fois un mauvais mot de passe. Cette mesure de sécurité part d’un bon sentiment, mais ne sert à rien en qu’à d’attaque de la base de données.

Je viens de découvrir que Chronodrive, le site pour faire ses courses en ligne, stocke les mots de passe en clair dans sa base de données.

Après avoir tapé 3 fois mon mot de passe en me trompant (je suis en mode gros doigts en ce moment), Chronodrive me propose de m’envoyer mon mot de passe par mail. Juste que là, rien d’anormal que d’envoyer un nouveau mot de passe par e-mail. Sauf que l’e-mail reçu contient mon mot de passe et non un nouveau.
Ca signifie que Chronodrive stocke les mots de passe en clair dans leur base de données.

En effet, lorsque les mots de passe sont chiffrés, il est impossible de le déchiffrer et donc de l’avoir en clair. Donc lorsque vous tapez votre mot de passe, le système le chiffre et le compare avec le mot de passe chiffré présent en base.

Vous vous demanderez peut-être quel est l’intérêt de stocker les mots de passe chiffrés dans une base de données. L’intérêt est simple, si vous vous faites attaquer votre base de données, le pirate récupérera les identifiants et les mots de passe mais ne pourra pas s’en servir. Bien sur, suivant la technique et la complexité du chiffrement utilisé, il pourra les déchiffrer mais il lui faudra du temps. Entre temps, le site aura vu qu’il s’est fait attaqué et enverra un mail à tous les utilisateurs afin qu’ils changent leur mot de passe. Ainsi lorsque le pirate aura les déchiffrés, la plus part sera inutilisable.

Or, chez Chronodrive, les mots de passe sont stockés en clair, ce qui signifie que s’ils se font attaquer, le pirate pourra directement utiliser les couples identifiants/mot de passe.
Le problème est que certains utilisateurs ont renseigné leur numéro de carte bancaire sur ce site. Donc le pirate pourra connaitre cette donnée plutôt sensible.
Et dernier point, beaucoup d’utilisateurs utilisent le même mot de passe sur plusieurs sites. Comme de nombreux sites permettent de se connecter avec le couple email/mot de passe, le pirate pourra aussi se connecter à d’autres sites, rien qu’en ayant attaqué Chronodrive.

En résumé, je trouve ça dommage que Chronodrive n’ai pas pensé à cette problématique lorsqu’ils ont fait leur site web car cette négligence peut être lourde de conséquence.

Le transhumanisme

Publié le par
Répondre

Un article de Korben d’hier parlait d’un monde sans humain : le transhumanisme.

Pour ceux qui ont la flemme de cliquer sur le lien, le transhumanisme est un courant de pensée qui prône l’utilisation de la technologique pour améliorer le corps humain. En gros, ils considèrent que le corps humain est trop imparfait pour pouvoir suivre le flux d’informations important qui va arriver dans les prochaines années. Pour cela, il faudrait avoir recours à la nanotechnologie pour pouvoir continuer à suivre la cadence. Ils voient le cerveau comme un ordinateur qu’il faut apprendre à décrypter afin de pouvoir le modifier et l’améliorer grâce à des implants.

Je trouve ça inquiétant de réduire l’homme à seulement sa capacité à calculer. Certes, il y a un côté « amusant » dans l’idée d’avoir un implant qui permet de penser plus vite ou de sauter plus haut. Mais ce que je trouve sympa actuellement, c’est que pour pouvoir réfléchir plus vite ou sauter plus haut, il faut s’entrainer, en baver pour s’améliorer. Sans cette phase, quel est l’intérêt ? On ne remarquerait même plus cet avantage, si on n’en bavait pas pour l’avoir.
Certes le transhumanisme pourrait permettre une égalité entre les gens, si tout le monde était équipé. Mais premièrement, je ne crois pas que tout le monde le sera, et puis c’est aussi les inégalités physiques qui font que nous sommes uniques. Si tout le monde avait les mêmes capacités, on ferait quasiment tous le même travail et donc énormément de secteurs d’activités ne pourraient plus recruter.

Je suis pour l’utilisation d’implants pour les personnes ayant des handicapes physiques : par exemple l’utilisation de prothèses, ou utiliser son ordinateur par la pensée pour les tétraplégiques. Mais pour ceux qui n’ont pas de problèmes handicapants non.

A ce sujet, je vous conseille le film « Bienvenu à Gattaca », le jeu « Deus ex human revolution » (je trouve qui montre bien la fracture entre ceux qui peuvent avoir une amélioration et les autres).

Faille dans les sms sous iOS

Publié le par
Répondre

Voici une petite information trouvée sur le site de Korben : il existe une faille dans le système de sms sous iOS, quelque soit la version d’iPhone.

Dans les en-têtes d’un sms, vous avez toutes sortes d’informations : le numéro de qui envoie le sms, celui du destinataire et celui de réponse (normalement identique à celui de qui envoie). Sous iOS, le programme des sms se base sur le numéro de réponse au sms pour vous dire qui vous l’envoie, et non pas sur celui de l’émetteur. Pour faire simple, votre numéro est le 0600000000 et vous envoyez un sms à votre ami en 0600000001. Le numéro d’émetteur est donc le votre, celui du destinataire est celui de votre ami et celui de réponse le votre. Donc l’application sous iOS lit le numéro de réponse est donc notre cas, dit à votre ami que c’est vous qui avez envoyé le sms.
Le problème c’est qui si on modifie le numéro de réponse par 0600000002, l’iPhone de votre ami ne lui dira pas que le sms provient de vous mais du 0600000002. Ca peut être marrant pour faire une blague à un ami, mais maintenant imaginez que vous modifiez le numéro de réponse par celui d’une banque, tout de suite ça peut être plus moche.

Apple a réagit en disant que ce problème n’existait pas avec leur application iMessage et que du coup ils ne modifieront pas leur OS. Donc vous aurez le choix entre avoir une application alternative (mais qui provient de l’App store) pour les sms et vous n’êtes pas sur de qui vous envoie le sms, soit vous acceptez d’utiliser que l’application d’Apple.

Je trouve leur réaction pitoyable, mais dans la continuité de leur politique.