PROJET AUTOBLOG


Reflets

Site original : Reflets

⇐ retour index

Auto-radicalisation : on recherche activement un homme de type ibérique

Wednesday 18 February 2015 à 17:31

manuelvalls

La France est sur les dents : un personnage important s’est auto-radicalisé, et il est excessivement dangereux. De taille moyenne et de type « ibérique », ce social-fasciste libéral tendance sécuritaire a été vu pour l’une de ses dernières apparitions en public à l’Assemblée nationale. Il pointait un doigt vengeur en direction d’un parterre de clowns députés qui simulaient une colère toute artificielle, alors que la plupart d’entre eux roupillait depuis déjà des années semaines.

L’homme, visiblement déchaîné, a fait ensuite un passage éclair sur une chaîne de télévision, tenant des propos décousus dont la teneur tournait autour de « l’autorité de l’Etat » et « l’obligation de réformer », ainsi que des codes obscurs comme « 49-3″. Les citoyens sont appelés à la plus grande vigilance et peuvent composer le numéro suivant au cas où ils croiseraient « l’auto-radicalisé de l’hôtel Matignon« , comme les médias le surnomment déjà : 00 00 00 00 00

Il semble que l’individu n’en est pas à ses premières tentatives, et de nombreuses sources renvoient ses tendances à la radicalisation, ou à l’hystérie (il parle d’islamo-fascisme en permanence), aidé la plupart du temps par des membres d’un groupe dont le nom de code est UMP ou de spécialistes en propagande sécuritaire, comme son vieil ami de 30 ans, le réputé Alain Bauer.

 

Découvrez la différence entre une diplomatie de gauche et une diplomatie de droite

Sunday 15 February 2015 à 21:19

shitstorm99hollande

Comme ils sont mignons. Tous ces hommes, toutes ces femmes politiques à se plaindre de la montée du Front National, à chercher comment le combattre. A se précipiter devant les micros et caméras pour faire la leçon au bon peuple qui se laisse séduire par les sirènes de l’extrême-droite rance. Et pourtant… Ils ne ménagent pas leurs efforts pour pousser tout un pan de la population dans les bras de la bête immonde.

Le changement c’est maintenant, disait François Hollande. On a vu. La finance sans visage, son ennemie, qui est devenue son amie au moment où il a été élu. On a vu… Les milliards de cadeaux offerts au Medef, sur un plateau. Avec un résultat sans égal. Les patrons n’ont pas respecté leur part de l’accord. On a vu… La Loi Macron qui va finir de dépecer les restes du code du Travail et qui voulait même, grâce aux bonnes idées de Jean-Jacques Urvoas, offrir aux entreprises un moyen de mettre fin au journalisme d’investigation. On a vu… Les petits arrangements du pouvoir qui ont perduré, les planques aménagées avec salaire confortable pour les amis, afin de patienter jusqu’à la prochaine élection. On a vu… L’impunité qui se poursuit. Jack Lang et sa femme qui déjeunent quasiment aux frais de la princesse avec leurs 1000 amis dans le restaurant sur le toit de l’Institut du Monde Arabe que l’ancien ministre de la culture dirige. On a vu… Claudie Haigneré, ancienne astronaute, recasée par la droite et maintenue par la gauche à la tête d’un établissement public regroupant la Cité des sciences et de l’industrie de la Villette et le Palais de la découverte. Avec un salaire et un budget de fonctionnement que lui envieraient tous les patrons d’établissements publics. (Voir pour ces deux dernières affaires le Canard Enchaîne du mercredi 11 février 2015). On a vu. Le changement, ce n’est ni hier, ni maintenant, ni demain.

Dans le domaine de la diplomatie, c’était déjà marquant durant les 100 premiers jours de la présidence Hollande. Le nouveau président avait en effet reçu le roi du Maroc (le mouvement du 20 février appréciera), le roi de Bahreïn (Najib Rajab appréciera), le premier ministre du Qatar, le fils du roi d’Arabie saoudite, le roi de Jordanie et le prince héritier d’Abu Dhabi. Tous pays connus pour leur souci du respect des Droits de l’Homme. Et pour leur goût prononcé pour les technologies de surveillance globale.

Rafale de légion d’honneur pour les tortionnaires : un message clair

Alors qu’il y a quelques jours la FIDH s’inquiétait de la lenteur de la procédure contre Amesys et sa vente d’un système de surveillance globale à la Libye, un message très clair vient d’être envoyé par la présidence française au pôle spécialisé dans les crimes contre l’humanité, crimes et délits de guerre au sein du TGI de Paris. Première salve : la vente accélérée et rocambolesque d’avions Rafale à l’Egypte du maréchal Abdel Fattah al-Sissi. Un vrai démocrate ce al-Sissi. Arrivé à la faveur d’un putsch qui arrangeait les occidentaux (il chassait les méchants islamistes), il s’est illustré en emprisonnant des journalistes, en laissant des massacres être perpétrés par les forces de sécurité. Deuxième salve : Bernard Cazeneuve, en visite au Maroc, vient d’annoncer qu’Abdellatif Hammouchi, patron du contre-espionnage marocain, déjà Chevalier de l’ordre de la Légion d’honneur depuis 2011, allait recevoir les insignes d’Officier.

Que peut-on faire de mieux, pour soutenir les peuples en lutte contre des Etats policiers qui se distinguent par leur usage de la torture contre les opposants politiques, que de leur vendre des armes et de leur distribuer des breloques ? Que peut-on faire de mieux pour soutenir la justice française qui tente d’auditionner Abdellatif Hammouchi dans le cadre de deux plaintes différentes pour actes de torture et de complicité de tels actes, que de lui décerner les insignes d’officier de la légion d’honneur ?

Abdellatif Hammouchi

Abdellatif Hammouchi

Les lecteurs de Reflets savent par ailleurs depuis longtemps que la France a vendu au Maroc le même Eagle que celui qui avait été livré à la Libye.

Toutes ces actions d’un gouvernement de gauche qui est Charlie, bien entendu, ne font que pousser les mous du cortex se laissant séduire par le Front National, à voter extrême droite. Parce qu’il est complexe d’imaginer autre chose qu’un vote FN ou extrême gauche lorsque les gouvernements de gauche remplacent comme une photocopie un gouvernement de droite, sans que rien ne change. Et pourtant… Il y a d’autres voies.

A ce point, on en viendrait même à se demander si ce n’est pas une stratégie délibérée du PS pour amener le FN au pouvoir.

 

 

France Cyber Security : une idée française de la sécurité française…

Friday 13 February 2015 à 16:19

francecybersecurity

C’est beau comme… Comme de l’auto-certification. Comment se faire un peu de pub quand on est un groupe de sociétés françaises spécialisées dans la sécurité informatique ? Simple. Créer un énième label et certifier quelques produits. Petit plus ? Embarquer dans l’aventure des organismes d’Etat. L’arrivée dans le paysage de « France Cyber Security » (évoqué ici par ZDNet) n’est donc pas une surprise. Elle suit le précédent « label » qui ne marchait pas, Hexatrust (dans lequel on trouvait nos amis de Qosmos). Dans tous les cas, bien décorer le site Web avec de la peinture bleue, blanche et rouge, imaginer un logo qui ressemble à s’y méprendre à un écusson de force de police ou de l’armée, et se présenter comme une alternative à la méchante NSA des Etats-Unis. De la sécurité française, façon Super Dupont qui permet de faire la nique aux espions américains. Sauf que tout cela ne suffit pas à faire de la bonne sécurité.

France Cyber Security l’annonce clairement sur son site :

Les principes d’attribution s’appuient principalement sur les critères suivants :

  1. Les produits et services sont fournis et/ou délivrés par une entreprise française
  2. Les produits sont conçus et développés en France.
  3. Les services sont fournis de France et hébergés en France le cas échéant.
  4. La qualité et la performance des produits et services sont attestés par des certifications.

Du vrai produit de sécurité made in France avec du saucisson et de la baguette.

Nos oreilles ont sifflé cette semaine quand, assistant à une conférence de la DGSI visant à sensibiliser les entreprises françaises aux danger numériques, France Cyber Security a été cité comme un lieu intéressant pour choisir des produits permettant d’éviter la curiosité américaine.

Car il devait manquer quelques informations au policier, par ailleurs intéressant, de la DGSI.

Dans la liste des produits certifiés pur saucisson-baguette, il y a nos amis d’Atos, de Bull. Nos plus anciens lecteurs (début des années 2000) savent combien ces sociétés se sont illustrées au fil du temps dans le domaine de la sécurité informatique. Ne parlons même pas du fait que Bull/Amesys s‘est particulièrement distinguée en vendant du matériel de cyber surveillance à des dictatures et des Etats policiers, au point qu’une instruction vise l’entreprise pour complicité de torture… Mais il y a mieux…

Produit certifié avec teinture capillaire©

Dans la liste des certifiés, on trouve une entreprise bien française qui vend à des ministères et des banques mais qui, pour assurer un beau contrat, a vendu l’accès au code source de son produit à… Une entreprise américaine dont les liens avec le gouvernement américain ne font aucun doute. Pour tout dire, cette entreprise française était tellement fière de son contrat que l’un de ses dirigeant s’est teint les cheveux de la couleur du logo de la société américaine le jour de la signature. Pour autant, elle ne s’en est pas vantée car voyez-vous, il y a un non disclosure agreement entre elle et la société américaine qui l’en empêche. Chers ministères, chères banques, vous ne saurez donc pas à quelle sauce vous serez mangés. Une chose est sûre toutefois, vous serez mangé avec une sauce certifiée France Cyber Security.

Ce label a toutefois du mal à s’auto-certifier lui-même. Le très joli WordPress installé sur le serveur Apache qui héberge ses pages, semble avoir été mis en place sans supervision… d’un expert en sécurité (française ou pas).

wp-includes

Il ne s’agit pas d’un simple petit oubli puisque le site offre d’autres informations : il est possible de consulter les fichiers uploadés sur le site :

uploads

Piste de réflexion (cadeau Bonux) le site Hexatrust qui regroupait déjà la fine fleur de la sécurité informatique made in France, présente le même genre de problème :

hexatrust-includes.25

Moralité ? L’auto-certification ne certifie pas grand chose…

Dans le chaudron des apprentis-sorciers : Lustre, écoutes a-légales et autres ingrédients

Tuesday 10 February 2015 à 23:23

sorcia11

Il est temps d’enclencher le compte à rebours. Dans les deux mois à venir, les apprentis-sorciers de gauche et de droite auront fignolé leur drôle de recette. Un projet de loi sur le renseignement est annoncé pour avril. Au menu de cette soupe à la grimace, on facilitera les écoutes des services de renseignement et l’on renforcera, dit-on, le contrôle de ces écoutes. Comme nous l’avions dit peu après les attentats de janvier dans notre émission de radio sur le terrorisme, ce sont surtout les écoutes illégales qui deviendront très probablement légales. Dans le jargon des zélateurs de l’écoute massive, on appelle ces écoutes, des écoutes a-légales. Pas légales, mais pas non plus illégales. Elles sont a-légales. Cherchez l’erreur, car tout étudiant de première année de droit sait, lui, que quelque chose est soit légal, soit illégal.

Mediapart publiait aujourd’hui un intéressant article sur les écoutes en France. C’est didactique, complet. A lire donc. Reste une inconnue, ces écoutes a-légales. Quelle est leur ampleur ? Qui les réalise ? Pour le compte de qui ? Même en ayant recueilli les confidences d’anciens membres de la CNCIS, Médiapart ne nous en apprend pas plus. Oui, elles existent, mais le détail reste flou.

C’est dommage, car selon nous, c’est justement cette partie des écoutes qui va être « légalisée » par le projet de loi à venir.

Sujet de polémique entre l’auteur de ces lignes et Jean-Marc Manach, il nous semble que la France pratique des écoutes massives parfaitement illégales.

Les mots ayant un sens, précisons notre pensée.

Ce qui doit énerver les députés, sénateurs, policiers, espions, etc. qui militent pour plus d’écoutes, c’est que les écoutes illégales (a-légales, selon leur terminologie) ne peuvent pas entrer dans une procédure judiciaire, en raison justement de leur illégalité. Un petit projet de loi bien tourné pourrait peut-être régler ce point de détail.

Lustre : ce tabou français dont on ne peut pas parler

Selon un journal Allemand, et Le Monde, la France participe au grand n’importe quoi mis en place par les Etats-Unis, en communiquant des informations récoltées (en masse) par nos services. Ceci se fait sur la base d’un accord portant le nom de « Lustre ». Mais que sait-on de Lustre ? Rien.

Ce n’est pas faute de poser des questions. Simplement, les élus se refusent à répondre. De mémoire, les élus sont dépositaires du pouvoir délégué par le peuple français. Ils leur doivent donc une certaine transparence sur leurs actes. En tout cas, c’est ce qui est écrit noir sur blanc dans « Oui-Oui écrit la constitution de la Vème république »…

lolcat-unicorn

Le député Jean-Jacques Candelier a bien tenté de poser une question au gouvernement sur Lustre. C’était le 26/11/2013. Il attend toujours sa réponse.

Reflets a posé une question sur Lustre à Jean-Jacques Urvoas à la fin d’une conférence. Sans répondre, il s’est levé et a quitté le lieu. Laissant là les personnes qui l’avaient invité et les autres participants à la conférence qui n’ont pu lui poser aucune question. En près de 25 ans de journalisme, je n’avais jamais vu quelqu’un refuser de répondre à une question de cette manière.

Ce matin, rencontrant dans une conférence publique un membre de la DGSI qui sensibilisait les entreprises au risques numériques, j’ai également abordé l’accord Lustre. Je n’ai obtenu aucune réponse sur ce point.

Reflets a interpellé à de très nombreuses reprises des membres du gouvernement ,via Twitter ou par ses articles, à propos de Lustre et de l’infrastructure d’écoute française (liée au déploiement des Eagles de Bull/Amesys). Sans jamais obtenir la moindre réponse. A part celle d’Aziz Ridouan, un chargé de la com’ de Fleur Pellerin qui traitait Reflets de Troll…

Circulez, il n’y a rien à voir. La France ne fait pas de massif répètent en boucle Jean-Jacques Urvoas, les patrons de la DGSE, les gouvernements. Tout va bien. Dormez tranquilles. Et pour vous rassurer un peu plus, au nom de Charlie qui n’en peut mais, on vous concocte une soupe à la grimace nouvelle loi liberticide. Etonnament, son contenu sera porté à bouts de bras par Jean-Jacques Urvoas, le même qui avait introduit un amendement sur le secret des affaires dans la loi Macron, visant entre autres choses à mettre un terme au journalisme d’investigation… Pur hasard bien entendu.

NSA – À propos de BULLRUN

Friday 6 February 2015 à 14:56

NSA-director

Fin décembre, le Spiegel révélait une série de documents issus des informations récoltées par Edward Snowden. C’était en plein 31c3 (Chaos Computer Congress). Le journal allemand réitérait le 17 janvier. On en sait désormais un peu plus sur les moyens offensifs de la NSA ainsi que d’autres agences concernant la cryptographie. La conférence « Reconstructing narratives » de Laura Poitras et Jacob Appelbaum présentant ces documents est visible sur le site du CCC. Un peu de temps s’étant écoulé, il n’est pas inutile de revenir sur ces révélations et d’en tirer quelques conclusions.

BULLRUN, yes we can…

BULLRUN est un « programme » de la NSA exploitant différents moyens pour accéder à du contenu chiffré. Le New York Times avait abordé le sujet fin 2013 dans son article « Secret Documents Reveal N.S.A. Campaign Against Encryption » mais sans aucun détails (comme The Guardian ou encore Propublica).

On savait, à l’époque, que l’on pouvait distinguer -en simplifiant, trois méthodes que la NSA utilise pour pouvoir accéder à du contenu chiffré :

Les États-unis ne sont évidemment pas obligé de passer par ce genre de d’opérations pour obtenir ce qu’ils veulent de leurs entreprises, il existe le « Foreign Intelligence Surveillance Act » (FISA) et les « lettres de sécurité nationale » qui sont des requêtes contraignantes et qui peuvent obliger une entreprise à permettre un accès à quelque chose en ayant l’obligation de ne pas en parler.

Ainsi, en 2013, l’entreprise Lavabit décida de fermer plutôt que de donner sa clé privée SSL/TLS au FBI, le tribunal la menaçait d’une amende de 5000 € par jour de retard. Lavabit hébergeait les mails d’Edward Snowden parmi ses 400 000 utilisateurs.

En 2008, Yahoo a été menacé d’une amende de 250 000 $ par jour de retard si il ne donnait pas des données d’utilisateurs à la NSA

Ainsi, la NSA (et sans doute les autres agences) a activement travaillé à insérer des vulnérabilités dans des produits commerciaux, des réseaux (par exemple en se connectant à un routeur pour diminuer la crypto d’un VPN), des protocoles (vous pouvez lire les spéculations de John Gilmore sur la NSA et IPsec) ou directement sur des périphériques de cibles.

Le New York Times rapporte qu’en 2006, la NSA avait réussi à pénétrer les communications de trois compagnies aériennes, un système de réservation de voyages, un programme nucléaire d’un gouvernement étranger en craquant les VPNs les protégeant, et en 2010, EDGEHILL (l’équivalent Britannique de BULLRUN) avait réussi à « déchiffrer » le trafic de 30 cibles.

À propos de configurations…

Pour ce que l’on en sait, il suffit d’une bonne configuration pour résoudre la majorité des problèmes (à noter tout de même : les documents datent de 2012, et énormément de choses ont pu changer depuis (Heartbleed, Poodle, nouvelles failles, etc).

SSL/TLS

Le cryptographe Matthew Green a fait un article sur les différents moyens dont la NSA dispose pour « casser » SSL/TLS. Selon lui, la NSA peut utiliser plusieurs méthodes :

Bonnes pratiques :

Pour vous aider dans la configuration de votre serveur Web, vous pouvez utiliser le site jeveuxhttps.fr, et bien entendu le désormais célèbre ssllabs.com qui permet de tester sa configuration.

Des outils comme sslscan, xmpp.net (XMPP/Jabber), starttls.info (mails) peuvent aussi être utiles.

SSH

La seule trace du terme backdoor dans les documents à propos d’openSSH est en fait un rootkit, ce qui signifie qu’il FAUT avoir réussi à rentrer dans le serveur et à être root pour pouvoir modifier le binaire et permettre l’accès à une clé ou à un mot de passe, à noter que cette modification empêche de voir les connexions « pirates » de ces comptes dans les logs.

Un problème concernant SSH pourrait être l’utilisation de ciphers obsolètes. Vous pouvez vérifier les ciphers proposés par votre serveur avec la commande ssh -vvv pour se connecter. Une connexion sur un serveur donne quelque chose ressemblant à ceci comme résultat ;

ssh -vvv skhaen@exemple.com

[...]
kex_parse_kexinit: ssh-rsa,ssh-dss
kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,
rijndael-cbc@lysator.liu.se
kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-sha2-256,
hmac-sha2-256-96,hmac-sha2-512,hmac-sha2-512-96,hmac-ripemd160,
hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
[...]

Arcfour est en fait un autre nom de RC4, qui pour le coup est cassé depuis un moment. La version 6.7 d’OpenSSH le supprime, et Microsoft recommande de le désactiver depuis 2013.

Pour améliorer la configuration de votre ssh (il n’y a pas que les ciphers), vous pouvez vous référer à ces trois articles. Faites TRÈS attention avant toute modification ! Elles pourraient vous empêcher de vous (re)connecter à votre serveur !

IPSec

Concernant IPSec et comment mieux le configurer, vous pouvez vous référer à l’article de Paul Wouters « Don’t stop using IPsec just yet » (en espérant que le problème se trouve bien là).

TL;DR:

Je peux utiliser quoi alors ?

Il ne faut surtout pas tomber dans le piège « on est tous foutu, rien ne marche, on ne peut rien faire », ce n’est absolument pas le cas. Dans les bonnes nouvelles, nous avons aussi la preuve que Tor, OTR, GPG, TAILS et Redphone sont sûr (ou du moins, l’étaient en 2012).

On notera avec beaucoup d’intérêt qu’il n’y a aucune trace de logiciels commerciaux (bitlocker…) dans les documents.

Dans un autre document, le logiciel Truecrypt est aussi considéré comme « solide », il ne reste plus qu’à attendre que son fork soit prêt.

Le point commun de tous ces logiciels ? Ce sont des logiciels libres.

Les documents sont disponibles sur le site du Spiegel

——-
Cet article a été originalement publié sur www.libwalk.so par Skhaen