PROJET AUTOBLOG


Reflets

Site original : Reflets

⇐ retour index

France Cyber Security : une idée française de la sécurité française…

vendredi 13 février 2015 à 16:19

francecybersecurity

C’est beau comme… Comme de l’auto-certification. Comment se faire un peu de pub quand on est un groupe de sociétés françaises spécialisées dans la sécurité informatique ? Simple. Créer un énième label et certifier quelques produits. Petit plus ? Embarquer dans l’aventure des organismes d’Etat. L’arrivée dans le paysage de « France Cyber Security » (évoqué ici par ZDNet) n’est donc pas une surprise. Elle suit le précédent « label » qui ne marchait pas, Hexatrust (dans lequel on trouvait nos amis de Qosmos). Dans tous les cas, bien décorer le site Web avec de la peinture bleue, blanche et rouge, imaginer un logo qui ressemble à s’y méprendre à un écusson de force de police ou de l’armée, et se présenter comme une alternative à la méchante NSA des Etats-Unis. De la sécurité française, façon Super Dupont qui permet de faire la nique aux espions américains. Sauf que tout cela ne suffit pas à faire de la bonne sécurité.

France Cyber Security l’annonce clairement sur son site :

Les principes d’attribution s’appuient principalement sur les critères suivants :

  1. Les produits et services sont fournis et/ou délivrés par une entreprise française
  2. Les produits sont conçus et développés en France.
  3. Les services sont fournis de France et hébergés en France le cas échéant.
  4. La qualité et la performance des produits et services sont attestés par des certifications.

Du vrai produit de sécurité made in France avec du saucisson et de la baguette.

Nos oreilles ont sifflé cette semaine quand, assistant à une conférence de la DGSI visant à sensibiliser les entreprises françaises aux danger numériques, France Cyber Security a été cité comme un lieu intéressant pour choisir des produits permettant d’éviter la curiosité américaine.

Car il devait manquer quelques informations au policier, par ailleurs intéressant, de la DGSI.

Dans la liste des produits certifiés pur saucisson-baguette, il y a nos amis d’Atos, de Bull. Nos plus anciens lecteurs (début des années 2000) savent combien ces sociétés se sont illustrées au fil du temps dans le domaine de la sécurité informatique. Ne parlons même pas du fait que Bull/Amesys s‘est particulièrement distinguée en vendant du matériel de cyber surveillance à des dictatures et des Etats policiers, au point qu’une instruction vise l’entreprise pour complicité de torture… Mais il y a mieux…

Produit certifié avec teinture capillaire©

Dans la liste des certifiés, on trouve une entreprise bien française qui vend à des ministères et des banques mais qui, pour assurer un beau contrat, a vendu l’accès au code source de son produit à… Une entreprise américaine dont les liens avec le gouvernement américain ne font aucun doute. Pour tout dire, cette entreprise française était tellement fière de son contrat que l’un de ses dirigeant s’est teint les cheveux de la couleur du logo de la société américaine le jour de la signature. Pour autant, elle ne s’en est pas vantée car voyez-vous, il y a un non disclosure agreement entre elle et la société américaine qui l’en empêche. Chers ministères, chères banques, vous ne saurez donc pas à quelle sauce vous serez mangés. Une chose est sûre toutefois, vous serez mangé avec une sauce certifiée France Cyber Security.

Ce label a toutefois du mal à s’auto-certifier lui-même. Le très joli WordPress installé sur le serveur Apache qui héberge ses pages, semble avoir été mis en place sans supervision… d’un expert en sécurité (française ou pas).

wp-includes

Il ne s’agit pas d’un simple petit oubli puisque le site offre d’autres informations : il est possible de consulter les fichiers uploadés sur le site :

uploads

Piste de réflexion (cadeau Bonux) le site Hexatrust qui regroupait déjà la fine fleur de la sécurité informatique made in France, présente le même genre de problème :

hexatrust-includes.25

Moralité ? L’auto-certification ne certifie pas grand chose…

Dans le chaudron des apprentis-sorciers : Lustre, écoutes a-légales et autres ingrédients

mardi 10 février 2015 à 23:23

sorcia11

Il est temps d’enclencher le compte à rebours. Dans les deux mois à venir, les apprentis-sorciers de gauche et de droite auront fignolé leur drôle de recette. Un projet de loi sur le renseignement est annoncé pour avril. Au menu de cette soupe à la grimace, on facilitera les écoutes des services de renseignement et l’on renforcera, dit-on, le contrôle de ces écoutes. Comme nous l’avions dit peu après les attentats de janvier dans notre émission de radio sur le terrorisme, ce sont surtout les écoutes illégales qui deviendront très probablement légales. Dans le jargon des zélateurs de l’écoute massive, on appelle ces écoutes, des écoutes a-légales. Pas légales, mais pas non plus illégales. Elles sont a-légales. Cherchez l’erreur, car tout étudiant de première année de droit sait, lui, que quelque chose est soit légal, soit illégal.

Mediapart publiait aujourd’hui un intéressant article sur les écoutes en France. C’est didactique, complet. A lire donc. Reste une inconnue, ces écoutes a-légales. Quelle est leur ampleur ? Qui les réalise ? Pour le compte de qui ? Même en ayant recueilli les confidences d’anciens membres de la CNCIS, Médiapart ne nous en apprend pas plus. Oui, elles existent, mais le détail reste flou.

C’est dommage, car selon nous, c’est justement cette partie des écoutes qui va être « légalisée » par le projet de loi à venir.

Sujet de polémique entre l’auteur de ces lignes et Jean-Marc Manach, il nous semble que la France pratique des écoutes massives parfaitement illégales.

Les mots ayant un sens, précisons notre pensée.

Ce qui doit énerver les députés, sénateurs, policiers, espions, etc. qui militent pour plus d’écoutes, c’est que les écoutes illégales (a-légales, selon leur terminologie) ne peuvent pas entrer dans une procédure judiciaire, en raison justement de leur illégalité. Un petit projet de loi bien tourné pourrait peut-être régler ce point de détail.

Lustre : ce tabou français dont on ne peut pas parler

Selon un journal Allemand, et Le Monde, la France participe au grand n’importe quoi mis en place par les Etats-Unis, en communiquant des informations récoltées (en masse) par nos services. Ceci se fait sur la base d’un accord portant le nom de « Lustre ». Mais que sait-on de Lustre ? Rien.

Ce n’est pas faute de poser des questions. Simplement, les élus se refusent à répondre. De mémoire, les élus sont dépositaires du pouvoir délégué par le peuple français. Ils leur doivent donc une certaine transparence sur leurs actes. En tout cas, c’est ce qui est écrit noir sur blanc dans « Oui-Oui écrit la constitution de la Vème république »…

lolcat-unicorn

Le député Jean-Jacques Candelier a bien tenté de poser une question au gouvernement sur Lustre. C’était le 26/11/2013. Il attend toujours sa réponse.

Reflets a posé une question sur Lustre à Jean-Jacques Urvoas à la fin d’une conférence. Sans répondre, il s’est levé et a quitté le lieu. Laissant là les personnes qui l’avaient invité et les autres participants à la conférence qui n’ont pu lui poser aucune question. En près de 25 ans de journalisme, je n’avais jamais vu quelqu’un refuser de répondre à une question de cette manière.

Ce matin, rencontrant dans une conférence publique un membre de la DGSI qui sensibilisait les entreprises au risques numériques, j’ai également abordé l’accord Lustre. Je n’ai obtenu aucune réponse sur ce point.

Reflets a interpellé à de très nombreuses reprises des membres du gouvernement ,via Twitter ou par ses articles, à propos de Lustre et de l’infrastructure d’écoute française (liée au déploiement des Eagles de Bull/Amesys). Sans jamais obtenir la moindre réponse. A part celle d’Aziz Ridouan, un chargé de la com’ de Fleur Pellerin qui traitait Reflets de Troll…

Circulez, il n’y a rien à voir. La France ne fait pas de massif répètent en boucle Jean-Jacques Urvoas, les patrons de la DGSE, les gouvernements. Tout va bien. Dormez tranquilles. Et pour vous rassurer un peu plus, au nom de Charlie qui n’en peut mais, on vous concocte une soupe à la grimace nouvelle loi liberticide. Etonnament, son contenu sera porté à bouts de bras par Jean-Jacques Urvoas, le même qui avait introduit un amendement sur le secret des affaires dans la loi Macron, visant entre autres choses à mettre un terme au journalisme d’investigation… Pur hasard bien entendu.

NSA – À propos de BULLRUN

vendredi 6 février 2015 à 14:56

NSA-director

Fin décembre, le Spiegel révélait une série de documents issus des informations récoltées par Edward Snowden. C’était en plein 31c3 (Chaos Computer Congress). Le journal allemand réitérait le 17 janvier. On en sait désormais un peu plus sur les moyens offensifs de la NSA ainsi que d’autres agences concernant la cryptographie. La conférence « Reconstructing narratives » de Laura Poitras et Jacob Appelbaum présentant ces documents est visible sur le site du CCC. Un peu de temps s’étant écoulé, il n’est pas inutile de revenir sur ces révélations et d’en tirer quelques conclusions.

BULLRUN, yes we can…

BULLRUN est un « programme » de la NSA exploitant différents moyens pour accéder à du contenu chiffré. Le New York Times avait abordé le sujet fin 2013 dans son article « Secret Documents Reveal N.S.A. Campaign Against Encryption » mais sans aucun détails (comme The Guardian ou encore Propublica).

On savait, à l’époque, que l’on pouvait distinguer -en simplifiant, trois méthodes que la NSA utilise pour pouvoir accéder à du contenu chiffré :

Les États-unis ne sont évidemment pas obligé de passer par ce genre de d’opérations pour obtenir ce qu’ils veulent de leurs entreprises, il existe le « Foreign Intelligence Surveillance Act » (FISA) et les « lettres de sécurité nationale » qui sont des requêtes contraignantes et qui peuvent obliger une entreprise à permettre un accès à quelque chose en ayant l’obligation de ne pas en parler.

Ainsi, en 2013, l’entreprise Lavabit décida de fermer plutôt que de donner sa clé privée SSL/TLS au FBI, le tribunal la menaçait d’une amende de 5000 € par jour de retard. Lavabit hébergeait les mails d’Edward Snowden parmi ses 400 000 utilisateurs.

En 2008, Yahoo a été menacé d’une amende de 250 000 $ par jour de retard si il ne donnait pas des données d’utilisateurs à la NSA

Ainsi, la NSA (et sans doute les autres agences) a activement travaillé à insérer des vulnérabilités dans des produits commerciaux, des réseaux (par exemple en se connectant à un routeur pour diminuer la crypto d’un VPN), des protocoles (vous pouvez lire les spéculations de John Gilmore sur la NSA et IPsec) ou directement sur des périphériques de cibles.

Le New York Times rapporte qu’en 2006, la NSA avait réussi à pénétrer les communications de trois compagnies aériennes, un système de réservation de voyages, un programme nucléaire d’un gouvernement étranger en craquant les VPNs les protégeant, et en 2010, EDGEHILL (l’équivalent Britannique de BULLRUN) avait réussi à « déchiffrer » le trafic de 30 cibles.

À propos de configurations…

Pour ce que l’on en sait, il suffit d’une bonne configuration pour résoudre la majorité des problèmes (à noter tout de même : les documents datent de 2012, et énormément de choses ont pu changer depuis (Heartbleed, Poodle, nouvelles failles, etc).

SSL/TLS

Le cryptographe Matthew Green a fait un article sur les différents moyens dont la NSA dispose pour « casser » SSL/TLS. Selon lui, la NSA peut utiliser plusieurs méthodes :

Bonnes pratiques :

Pour vous aider dans la configuration de votre serveur Web, vous pouvez utiliser le site jeveuxhttps.fr, et bien entendu le désormais célèbre ssllabs.com qui permet de tester sa configuration.

Des outils comme sslscan, xmpp.net (XMPP/Jabber), starttls.info (mails) peuvent aussi être utiles.

SSH

La seule trace du terme backdoor dans les documents à propos d’openSSH est en fait un rootkit, ce qui signifie qu’il FAUT avoir réussi à rentrer dans le serveur et à être root pour pouvoir modifier le binaire et permettre l’accès à une clé ou à un mot de passe, à noter que cette modification empêche de voir les connexions « pirates » de ces comptes dans les logs.

Un problème concernant SSH pourrait être l’utilisation de ciphers obsolètes. Vous pouvez vérifier les ciphers proposés par votre serveur avec la commande ssh -vvv pour se connecter. Une connexion sur un serveur donne quelque chose ressemblant à ceci comme résultat ;

ssh -vvv skhaen@exemple.com

[...]
kex_parse_kexinit: ssh-rsa,ssh-dss
kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,
rijndael-cbc@lysator.liu.se
kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-sha2-256,
hmac-sha2-256-96,hmac-sha2-512,hmac-sha2-512-96,hmac-ripemd160,
hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
[...]

Arcfour est en fait un autre nom de RC4, qui pour le coup est cassé depuis un moment. La version 6.7 d’OpenSSH le supprime, et Microsoft recommande de le désactiver depuis 2013.

Pour améliorer la configuration de votre ssh (il n’y a pas que les ciphers), vous pouvez vous référer à ces trois articles. Faites TRÈS attention avant toute modification ! Elles pourraient vous empêcher de vous (re)connecter à votre serveur !

IPSec

Concernant IPSec et comment mieux le configurer, vous pouvez vous référer à l’article de Paul Wouters « Don’t stop using IPsec just yet » (en espérant que le problème se trouve bien là).

TL;DR:

Je peux utiliser quoi alors ?

Il ne faut surtout pas tomber dans le piège « on est tous foutu, rien ne marche, on ne peut rien faire », ce n’est absolument pas le cas. Dans les bonnes nouvelles, nous avons aussi la preuve que Tor, OTR, GPG, TAILS et Redphone sont sûr (ou du moins, l’étaient en 2012).

On notera avec beaucoup d’intérêt qu’il n’y a aucune trace de logiciels commerciaux (bitlocker…) dans les documents.

Dans un autre document, le logiciel Truecrypt est aussi considéré comme « solide », il ne reste plus qu’à attendre que son fork soit prêt.

Le point commun de tous ces logiciels ? Ce sont des logiciels libres.

Les documents sont disponibles sur le site du Spiegel

——-
Cet article a été originalement publié sur www.libwalk.so par Skhaen

Un hiatus, sinon rien (#climat)

jeudi 5 février 2015 à 19:54

ours-polaire-205_jpg

C’est un fait avéré : ne pas suivre le discours officiel catastrophiste sur le dérèglement climatique est un crime de lèse-majesté. Les détracteurs arrivent avec des lames de rasoir sur le clavier, vous insultent et le plus souvent vous traitent d’imbécile, d’incompétent. Avec toujours, dans leur discours, de la « science ».

Eux seraient des scientifiques, formés, qui savent ce qu’ils disent, et vous, un imbécile qui ne comprend pas un traître de mot sur le sujet. Alors que discuter autour d’une affirmation scientifique est en réalité un exercice tout à fait intéressant et normal, en général. Mais avec le climat, ce n’est visiblement pas le cas. Prenons justement le sujet du « plateau climatique », appelé « hiatus » en langue anglaise. En parler, c’est déchaîner l’indignation des grands défenseurs de la vraie science, des pros du réchauffement. Sauf, que ce hiatus existe bien, est réel, et est reconnu par… le GIEC lui-même. Mais qu’est-ce donc ? Et pourquoi est-ce intéressant de regarder la chose scientifique en question ? Parce que c’est de la science, pas de la politique ou de la religion mâtinée d’idéologie et d’intérêts divers et variés.

Il y a une pause dans le réchauffement depuis 1998

Et les modèles du GIEC se sont fait exploser la tronche. Ils le savent, le reconnaissent, essayent de minorer le phénomène,  mais au final, ils  l’avouent. Le titre de cette section d’un rapport du GIEC de juillet 2013 est évocateur : « Modèles climatiques et l’Hiatus dans le réchauffement global de la surface des 15 dernières années ». Les modèles n’ont pas donné ce qui était attendu. Ca na pas chauffé comme prévu. C’est très pénible à lire, très obscur, mais chacun peut aller vérifier.

La communauté scientifique a donc commencé à chercher à comprendre pourquoi le réchauffement était en « pause », donc très faible, n’augmentait que très très peu depuis 15 ans. Cette information a été donnée au grand public,  de manière toujours… très modérée. On retrouve quelques traces ici ou là dans l’espace francophone : http://www.lexpress.fr/actualite/societe/environnement/le-rechauffement-climatique-s-est-stabilise-depuis-15-ans_1276926.html. Et comme les chercheurs cherchent à savoir, il y a des tentatives d’explications, mais qui ne sont pas encore certaines à 90% : http://www.20minutes.fr/planete/1455593-20141006-climat-eaux-fonds-oceaniques-rechauffent-plus-depuis-2005

Ce sont des questionnements de ce type :

« La température moyenne des eaux froides profondes des océans a cessé d’augmenter depuis 2005, ce qui suscite de nouvelles interrogations chez les chercheurs: pourquoi le réchauffement climatique semble se ralentir ces dernières années malgré l’accroissement des gaz à effet de serre ? » Une des principales hypothèses avancées jusqu’à présent pour expliquer ce paradoxe était que la chaleur accumulée par les océans descendait dans les grandes profondeurs. (…) Mais les scientifiques de la Nasa, au Jet Propulsion Laboratory (JPL) à Pasadena, en Californie (ouest), ont analysé les relevés de température des océans de 2005 à 2013. Ces mesures ont été faites par des satellites, et directement dans les eaux océaniques à l’aide de 3.000 bouées réparties partout dans le monde (…) Ils ont découvert qu’au-dessous de 1.995 mètres il n’y a eu quasiment aucun changement de température durant cette période», ont-ils noté dans leurs travaux publiés dans la revue britannique Nature. »

La NASA est aussi sur le coup, et une conférence comme celle-ci, résumée sur leur site, peut donner des informations plutôt intéressantes sur le sujet :

Between 1998 and 2012, climate scientists observed a slowdown in the rate at which the Earth’s surface air temperature was rising. While the rise in global mean surface air temperature has continued, between 1998 and 2012 the increase was approximately one third of that from 1951 to 2012.

Entre 1998 et 2012, les scientifiques du climat ont observé un ralentissement de la vitesse à laquelle la température de l’air à la surface de la Terre augmentait. Alors que l’augmentation de la température de l’air de surface moyenne globale a continué entre 1998 et 2012,  cette augmentation était d’environ un tiers de la période 1951-2012.

Bien entendu, du côté NASA, il n’est pas question d’abandonner la thèse officielle, la chaleur est donc certainement quelque part :

« Observations are showing us the planet is still taking up heat, but it is just showing up in a different place »

That different place is the ocean.

« Ces observations nous montrent la planète accumule encore de la chaleur, mais cela doit juste apparaître dans un endroit différent« ,

Cet endroit différent est l’océan.

Rien n’est encore sorti de concret sur l’accumulation de chaleur dans les océans, et d’autres scientifiques pensent que les volcans peuvent être l’une des raisons :

The “warming hiatus” that has occurred over the last 15 years has been caused in part by small volcanic eruptions.
Scientists have long known that volcanoes cool the atmosphere because of the sulfur dioxide that is expelled during eruptions. Droplets of sulfuric acid that form when the gas combines with oxygen in the upper atmosphere can persist for many months, reflecting sunlight away from Earth and lowering temperatures at the surface and in the lower atmosphere.

La « pause dans le réchauffement » qui a eu lieu au cours des 15 dernières années a été causée en partie par de petites éruptions volcaniques.
Les scientifiques savent depuis longtemps que les volcans refroidissent l’atmosphère en raison de la dioxyde de soufre qui est expulsé pendant les éruptions. Ce sont des gouttelettes d’acide sulfurique qui se forment lorsque le gaz se combine avec l’oxygène dans l’atmosphère supérieure et peuvent persister pendant plusieurs mois, reflétant la lumière du soleil loin de la Terre et l’abaissement des températures à la surface et dans la basse atmosphère.

Revenir à la science ?

Ce qui est intéressant dans cette affaire de « hiatus », c’est de voir — qu’au delà du story-telling terrifiant, relayé en permanence par les mass-médias sur un futur horrible et déterminé par les modèles informatiques [défaillants] des scientifiques au service du GIEC — le climat de la planète, dans son ensemble, ses interactions, n’est pas encore pleinement compris par les sciences qui l’observent. De nombreuses théories se confrontent — loin du public à qui on annonce simplement un monde très difficile à vivre dans 30, 40 ou 50 ans, si « rien n’est fait » — pour tenter de comprendre comment et pourquoi, à certaines périodes, le climat se réchauffe ou se refroidit. Il y avait de grandes inquiétudes sur le réchauffement au pôle nord dans les années… 1920. La glace fondait très fortement. Au point qu’un communiqué de l’US bureau of weather énonça la chose suivante :

« L’Océan Arctique se réchauffe, les icebergs se font de plus en plus rares et dans certains endroits les phoques trouvent l’eau trop chaude. Tous les rapports pointent vers un changement radical des conditions climatiques avec des températures inconnues jusqu’à présent dans la zone arctique. Des expéditions nous rapportent que pratiquement aucune glace n’a été vue au dessus d’une latitude de 81 degrés 29 minutes. D’énormes masse de glace ont été remplacées par des moraines de terre et des pierres tandis qu’en de nombreux endroits, des glaciers bien connus ont entièrement disparu. »

Le document (en lien ci-dessus), se trouve sur le site de la NOAA, la National Oceanic and Atmospheric Administration (USA).

Reflets publie Hell’s r00ts (ebook)

lundi 2 février 2015 à 17:24

hellsrootsReflets.info a décidé de publier une série de livres. Dans les mois qui viennent, vous trouverez dans la rubrique « Ebooks » (en haut à droite du menu général du site) une sélection de livres.

Après la publication d’un recueil de nouvelles, le deuxième ebook (au format PDF, ePub, MOBI ou ibook) est un roman, une sorte de techno-thriller publié par Kitetoa en 2000.

L’histoire : un groupe mafieux décide de détruire le système capitaliste qui régit la planète pour son plus grand profit. En manipulant l’information financière et les marchés financiers, en utilisant la presse, via des piratages informatiques, il ébranle le système. Les services de renseignement et un journaliste informé par un mystérieux « Bill Cinton » tentent de s’opposer (on sait ce que l’on perd, on ne sait pas ce que l’on va gagner). Les hackers sont également de la partie. Ce roman est basé sur des faits réels ou réalisables, et si les noms ont été modifiés, il est nourri de choses tout à fait possibles. Vu sa date de publication, il est probablement le premier manuel de cyber-terrorisme iy de cyber-guerre qui pourrait marcher. Fort heureusement, l’organisation décrite dans ce livre n’a pratiquement aucune chance de voir le jour.

Que se passe-t-il si j’achète le livre ? Nous recevons votre paiement via Paypal (vous pouvez aussi régler via Paypal avec une carte bancaire sans avoir de compte Paypal). Nous vous adressons l’ebook par mail dans les heures qui suivent.

Pourquoi proposez-vous plusieurs prix ? Parce que produire un livre, c’est quelque chose de long et pas forcément simple. Fidèle à ses principes, Reflets.info tente de proposer le prix le plus bas possible mais pense que si vous vous aimez ce que nous faisons, vous aurez peut-être envie de nous soutenir un peu plus fortement…


Choisir le prix