Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

January 29 2014

11:57

Ouch le test SSL de levy.vicci.cbhuissiers.fr

Ce site ssllabs.com analyse la mise en oeuvre du protocole SSL (ou TLS) sur des sites web proposant une connexion chiffrée (https).

En l'occurrence, la plateforme de paiement en ligne du cabinet Olivier LEVY-David VICCI-Adeline MAIRE, lorsqu'il est testé par ce service, renvoit un résultat... surprenant. Ce sont CES huissiers et huissières qui sont chargé/e/s par une web agency (creation & référencement de sites internet nord 59) de me faire payer cher mes révélations suite à la publication sur mon blog d'un témoignage de client breton le 16 janvier 2010.


Via Vivaldi-Avocats Lille SELARL (Eric DELFLY-Kathia BEULQUE, conseils mandatés par l'auto-proclamé leader français dans la création de sites internet vidéos).
Et via http://d.vicci.free.fr (le site officiel de cette étude d'huissiers).

January 16 2014

20:55

Quand vous surfez à poil sur le Net, vous baisez avec la NSA.

Voilà à quoi cela revient de naviguer sur Internet sans protéger sa connexion par des moyens cryptographiques tels qu'un VPN (réseau privé virtuel, via le logiciel gratuit OpenVPN, par exemple).

Vous n'êtes pas couvert, donc visible, espionnable, vulnérable : votre connexion peut être bidouillée contre vous, détériorée, détournée, usurpée...

Cette formule m'a été inspiré par une conférence de Jacob Appelbaum lors du dernier congrès 30C3 du Chaos Computer Club fin 2013 ("To Protect And Infect, Part 2").

Voici ce qu'a dit ce chercheur indépendant en sécurité informatique (à 32'08'' dans la présentation) :
There was a joke you know: “When you download mp3's, you ride with communism” from the 90's, some of you remember this ? [Hu-hum.]
When you bareback with Internet, you ride with the NSA. [applaudissement du public] Or you're getting a ride, going for a ride...

Traduction :
Il y avait une blague dans les années 90 vous savez : « Quand vous télécharger des [fichiers musicaux au format] mp3, vous couchez avec le communisme », certain-e-s d'entre vous se souviennent de cela ?
Quand vous surfez non couvert sur Internet, vous baisez avec la NSA [agence de renseignements états-unienne, comprendre : espionnage]. Ou alors VOUS vous faites enfiler, vous allez la monter...


Si vous avez une formule plus percutante pour les no-cipherpunks, je suis preneur :)
13:06

Comment reconnaître un ou une journaliste en 2014 ?

Très simple :
Si la personne qui se dit journaliste ne chiffre RIEN à propos de son travail (connexion Internet, courriels, disque dur, SMS...),
alors elle ne mérite pas le titre de journaliste.

Les révélations fréquentes apportées par l'analyse des documents d'Edward Snowden l'ont prouvé : TOUT le monde doit maintenant protéger ses communications. À commencer par les journalistes, au nom de la confidentialité de leurs enquêtes et les sécurité et tranquillité de leurs sources. https://bugbrother.blog.lemonde.fr/2010/10/27/journalistes-protegez-vos-sources/
https://www.wefightcensorship.org/fr/online-survival-kithtml.html

Alors si vous recevez un appel ou un message d'un-e prétendu-e journaliste, demandez-lui immédiatement : « Par quels moyens ou outils cryptographiques protégez-vous vos communications, documents, sources..., bref, vos travaux ? »
Si la personne au bout du fil ne comprend pas la question, ou pas son enjeu, ou pas son thème, RACCROCHEZ illico.

October 18 2013

19:13
17:54

September 28 2013

18:02
18:02

September 03 2013

17:26

Blog Stéphane Bortzmeyer: La cryptographie nous protège t-elle vraiment de l'espionnage par la NSA ou la DGSE ?

Réponse en filigrane : c'est mieux que rien, et idiot de s'en priver puisque ça embête l'espion (ça le ralentit).

August 24 2013

17:34

Ce moment gênant où tu confonds ton mot de passe, le « donnant », ainsi à un autre site…

En réalité, on ne lui transmet *normalement pas* le mot de passe en lui-même, car les sites web sérieux le résument en un condensat ("hash") qui lors de la tentative de connexion est *lui seul* comparé au condensat stocké dans la base de données. On parle aussi d'empreinte, comme synonyme de condensat.

Toutefois, le mot de passe proposé par erreur est concrêtement envoyé sur le réseau Internet, et voyage donc avant d'atteindre le serveur du service web où il sera haché par une fonction cryptographique dont le résultat (l'empreinte) sera comparé à celle enregistrée dans la BDD du site.
Mais comme le formulaire de connexion envoie les données en POST (une méthode de soumission de formulaire), celles-ci sont CHIFFRÉES de toute façon, y compris dans le cadre d'une connexion non sécurisée par TLS (protocole HTTPS).

August 21 2013

18:46

Pond

Un projet de moyen de communication sécurisé et asynchrone, distinct de Bitmessage.

Via https://twitter.com/kheops2713/status/367604408085127168

August 13 2013

06:03

Les messages Bitmessage s'auto-détruisent après 48 heures (Heureusement.)

Les messages envoyés via le logiciel Bitmessage ne sont pas conservés plus de deux jours sur le réseau Internet.

En effet, le principe du logiciel est de l'envoyer en mode pair-à-pair & « diffusion large », comme une radio qui inonde l'air de ses ondes. Les messages Bitmessage sont donc envoyés à TOUT le réseau Internet, n'importe où, ce qui créerait un sérieux problème de pollution et de congestion s'ils étaient conservé indéfiniment. C'est leur CHIFFREMENT qui garantie leurs confidentialité et intégrité.

Lorsque le message n'est pas reçu par son destinataire, l'expéditrice-eur reçoit une notification de non-réception. Elle peut alors décider de le ré-envoyer. Cela veut aussi dire que chaque utilisatrice-eur doit lancer le logiciel au moins une fois tous les deux jours, pour être sûr-e de recevoir les messages qui lui sont destinés.

Via https://tomcanac.com/blog/?p=1299 .

August 01 2013

07:27

[PDF, 2 pages] Quelques mots de S. Bortzmeyer sur Bitmessage

En résumé : manque cruel de maturité malgré un avenir prometteur.

Environnement, dépendance conceptuelle sur le principe des preuves de travail qui font travailler le processeur de la machine hébergeant le client Bitmessage, ergonomie, manque de réactivité ou de transparence dans la rédaction des documents publics, manque de sécurité par défaut...

Première rédaction le 8 juillet 2013.

July 02 2013

16:14

TouTEs les éditeurs web et webmistresses devraient implanter le Perfect Forward Secrecy

TouTEs les éditeurs web et webmistresses devraient mettre en place cette mesure dite Perfect Forward Secrecy (via httpd), pour les confidentialité et sécurité de leur visiteurs/membres (du point de vue de leur FAI et de l'espionnage de leur connexion).

En effet, les clés de chiffrement utilisées lors de connexions sécurisées (Secure Socket Layer) ne sont PAS LES MÊME d'une session à l'autre. Pour en décrypter une, il peut devenir NéCESSAIRE de "casser" les precédentes. L'article évoque bien la volonté de gouvernements de briser un jour ou l'autre le chiffrement protégeant ces sessions de connexion Internet.

L'article lié s'appelle "SSL: Intercepted today, decrypted tomorrow | Netcraft". Via Skhaen retweetant https://twitter.com/kheops2713/status/351834349576011777 .

June 28 2013

15:54

Quelques pistes pour se protéger de PRISM & consorts

Voici un copier-coller de la dernière partie d'un article par Bluetouff, spécialiste en sécurité informatique et auteur sur le magazine Reflets (www.reflets.info), blogue de référence dans le domaine de la surveillance de masse (= espionner des millions de personnes, comme un pays entier). Son article critique initialement un medium local et une entreprise qui affirme proposer une solution technologique "non soumise au Patriot Act qui garantit une totale confidentialité des données".

L'auteur donne quelques indices, tuyaux, MOYENS pour se parer de (conséquences de) l'écoute généralisée des réseaux. Ses conseils intègrent sûr du chiffrement (protection d'un message par la modification profonde mais réversible de sa forme, via une sorte de mot de passe nommé clef), mais notez bien que le chiffrement N'EMPÊCHE PAS l'interception des messages (c'est-à-dire la copie à la volée, en direct, sans modification), ni des paquets ou signaux qui circulent sur des réseaux de communication. Le chiffrement ne permet "QUE" de retarder leur décryptage ("décodage" illégitime vers la forme "en clair" du message, celle d'origine, par une personne qui n'est PAS la/le destinataire), quand la physique quantique ou ses applications permettra des puissances de calcul sans commune mesure avec celle des ordinateurs actuels, et donc la capacité à décrypter "rapidement" des messages chiffrés.

Voici donc ce que propose l'auteur.


[intertitre] PRISMproof ?

Avant que vous ne me posiez la question « alors comment on fait pour échapper à PRISM », je vais tenter de vous faire une (trop) brève réponse, elle n’est pas parole d’évangile mais elle ne vise qu’à vous donner des pistes, en fonction de vos activités (car il serait idiot de penser que nous avons tous les mêmes besoins et les mêmes exigences en matière de confidentialité, ce en fonction de nos activités) :

   -* Oui, on conserve ses données de préférence sur le territoire national et encore, tout dépend… Vous imaginez bien que nous n’irons par exemple pas héberger Reflets.info ni même ce blog chez Numergie (le cloud by Bull / Amesys [ http://reflets.info/category/sagas/bienvenue-chez-amesys/ ]), ou dans le cloud de Thales [ http://reflets.info/pnij-leak-la-plateforme-nationale-des-interceptions-judiciaires-ou-lhistoire-dune-fuite/ ].
   -* Oui on chiffre son trafic (et tout son trafic), oui on utilise un VPN, mais pas n’importe lequel, on choisi correctement son point d’entrée, son point de sortie (ce en fonction du contexte à protéger lors de vos activités en ligne). J’ai fais le choix de privilégier de l’ OpenVPN (L2TP, c’est la loose). Je privilégie également une PKIx509 en PFS (Perfect Forward Secrecy [ http://en.wikipedia.org/wiki/Perfect_forward_secrecy ]). Le PFS a une vertu : même si la clé master tombe dans les mains de la NSA, elle ne pourra pas déchiffrer tout le trafic, il lui faudra casser de la clé session par session… ce qu’elle ne manquera pas un jour de faire, sachez le !
   -* Non, on utilise pas son VPN pour aller superpoker tout son carnet de contact chez Facebook !
   -* On durci son navigateur, par exemple avec JonDoFox [ http://toonux.net/outils/jondofox-anonymat-proxy-tutoriel/ ] et en utilisant, au cul du VPN, un bridge TOR [ https://www.torproject.org/about/overview ], et des proxys différents pour les autres applications (mail, chat etc… que l’on chiffre également… OpenPGP [ http://www.openpgp.org/ ], OTR [ http://www.cypherpunks.ca/otr/ ] tout ça …)
   -* Pour une sécurité accrue, on recommandera l’utilisation de machines virtuelles, ce afin d’isoler les différents contextes liés à nos différentes activités (une vm sous GNU/Linux pour les mails, qui sort en Suisse, une vm pour bittorrent, qui sort en Suède, etc…)
   -* Oui c’est plus lent, mais vous apprendrez plein de choses passionnantes et vous corrigerez vos comportements en ligne pour gagner en confidentialité et en sécurité.
   -* Enfin, on gardera en tête qu’il n’y a pas de secret numérique éternel : toute donnée chiffrée sera déchiffrable un jour ou l’autre (les américains stockent le trafic chiffré [ http://www.forbes.com/sites/andygreenberg/2013/06/20/leaked-nsa-doc-says-it-can-collect-and-keep-your-encrypted-data-as-long-as-it-takes-to-crack-it/ ], et c’est bien dans le but de le déchiffrer un jour ! Pensez donc à l’anonymiser [ http://bluetouff.com/2010/10/05/anonymat-acte-1-vpn-et-hadopi-et-vous-vous-pensez-anonymes/ ])

D’une manière générale, ne croyez jamais un commerçant qui affirme vous rendre 100% anonyme sur le Net, c’est forcément un menteur. D’une manière générale ne croyez jamais une personne qui après 20 lignes pour vous expliquer PRISM conclura par « la preuve, j’ai moi même développé la solution qui garantie la confidentialité de vos données« , car ce dernier n’a non seulement rien prouvé, mais c’est très probablement un menteur. Et en matière de confidentialité, il y a certains pays ou ces menteurs peuvent finir avec des morts sur la conscience [ http://reflets.info/prism-entre-consternation-agacement-et-lassitude/ ]…

Enfin, ne croyez jamais un expert en sécurité qui sort les mêmes âneries qu’un ministre qui dépend de Bercy [ http://bluetouff.com/2013/06/16/prism-non-fleurpellerin-les-donnees-ne-naissent-pas-et-ne-meurent-pas-sur-des-serveurs-americains-elles-circulent/ ].

Un pourcentage non négligeable de la confidentialité se passe entre la chaise et le clavier, non sur un disque dur.


[fin de citation]

Source : http://bluetouff.com/2013/06/27/prism-itrust-ou-le-ibullshit-souverain-avec-du-ifud-dedans/ ;
Rappel de ma mise au point sur les bon termes du chiffrement : http://site.mathiaspoujolrost.net/information/termes-corrects-a-utiliser-en .

June 16 2013

08:44

Overview | Onion Pi | Adafruit Learning System

Vous ne ne savez pas ou pouvez pas installer TOR sur votre PC ? Branchez ce petit appareil à Internet d'un côté (en Ethernet/RJ45), à votre ordinateur de l'autre côté (en USB, pour l'alimenter en électricité), et voilà, ça créé un point d'accès WiFi nommé "Onion Pi" qui dirige tout le traffic web vers TOR.

94,95 dollars US soit environ 71,16 euros (hors frais de port)

March 11 2013

16:31

Microsoft Skype : pourquoi il faut l'éviter (compilation)

Cela faisait longtemps que je voulais faire cette liste d'articles de presse accablants sur ce logiciel propriétaire. En fait je cherchais à faire un argumentaire pour mes amiEs qui l'utilisent encore.

Mon article est publié avec d'office son placement dans le domaine public, car ce n'est QUE une compilation ET les vie privée & sécurité en ligne SONT des enjeux PRIMORDIAUX.

January 08 2013

14:14

WiFi Guard Alerts You Of New Wi-Fi Connections

Permet de savoir qui utilise votre réseau WiFi.

December 09 2012

17:30

June 27 2011

13:25

Diffusion d’un document pour la mise en place d’une politique de sécurité informatique

Diffusion sous licence libre d’un document pour la mise en place d’une sécurité informatique, via Toonux

February 19 2011

16:06
Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl