PROJET AUTOBLOG


Reflets

Site original : Reflets

⇐ retour index

NSA – À propos de BULLRUN

Friday 6 February 2015 à 14:56

NSA-director

Fin décembre, le Spiegel révélait une série de documents issus des informations récoltées par Edward Snowden. C’était en plein 31c3 (Chaos Computer Congress). Le journal allemand réitérait le 17 janvier. On en sait désormais un peu plus sur les moyens offensifs de la NSA ainsi que d’autres agences concernant la cryptographie. La conférence « Reconstructing narratives » de Laura Poitras et Jacob Appelbaum présentant ces documents est visible sur le site du CCC. Un peu de temps s’étant écoulé, il n’est pas inutile de revenir sur ces révélations et d’en tirer quelques conclusions.

BULLRUN, yes we can…

BULLRUN est un « programme » de la NSA exploitant différents moyens pour accéder à du contenu chiffré. Le New York Times avait abordé le sujet fin 2013 dans son article « Secret Documents Reveal N.S.A. Campaign Against Encryption » mais sans aucun détails (comme The Guardian ou encore Propublica).

On savait, à l’époque, que l’on pouvait distinguer -en simplifiant, trois méthodes que la NSA utilise pour pouvoir accéder à du contenu chiffré :

Les États-unis ne sont évidemment pas obligé de passer par ce genre de d’opérations pour obtenir ce qu’ils veulent de leurs entreprises, il existe le « Foreign Intelligence Surveillance Act » (FISA) et les « lettres de sécurité nationale » qui sont des requêtes contraignantes et qui peuvent obliger une entreprise à permettre un accès à quelque chose en ayant l’obligation de ne pas en parler.

Ainsi, en 2013, l’entreprise Lavabit décida de fermer plutôt que de donner sa clé privée SSL/TLS au FBI, le tribunal la menaçait d’une amende de 5000 € par jour de retard. Lavabit hébergeait les mails d’Edward Snowden parmi ses 400 000 utilisateurs.

En 2008, Yahoo a été menacé d’une amende de 250 000 $ par jour de retard si il ne donnait pas des données d’utilisateurs à la NSA

Ainsi, la NSA (et sans doute les autres agences) a activement travaillé à insérer des vulnérabilités dans des produits commerciaux, des réseaux (par exemple en se connectant à un routeur pour diminuer la crypto d’un VPN), des protocoles (vous pouvez lire les spéculations de John Gilmore sur la NSA et IPsec) ou directement sur des périphériques de cibles.

Le New York Times rapporte qu’en 2006, la NSA avait réussi à pénétrer les communications de trois compagnies aériennes, un système de réservation de voyages, un programme nucléaire d’un gouvernement étranger en craquant les VPNs les protégeant, et en 2010, EDGEHILL (l’équivalent Britannique de BULLRUN) avait réussi à « déchiffrer » le trafic de 30 cibles.

À propos de configurations…

Pour ce que l’on en sait, il suffit d’une bonne configuration pour résoudre la majorité des problèmes (à noter tout de même : les documents datent de 2012, et énormément de choses ont pu changer depuis (Heartbleed, Poodle, nouvelles failles, etc).

SSL/TLS

Le cryptographe Matthew Green a fait un article sur les différents moyens dont la NSA dispose pour « casser » SSL/TLS. Selon lui, la NSA peut utiliser plusieurs méthodes :

Bonnes pratiques :

Pour vous aider dans la configuration de votre serveur Web, vous pouvez utiliser le site jeveuxhttps.fr, et bien entendu le désormais célèbre ssllabs.com qui permet de tester sa configuration.

Des outils comme sslscan, xmpp.net (XMPP/Jabber), starttls.info (mails) peuvent aussi être utiles.

SSH

La seule trace du terme backdoor dans les documents à propos d’openSSH est en fait un rootkit, ce qui signifie qu’il FAUT avoir réussi à rentrer dans le serveur et à être root pour pouvoir modifier le binaire et permettre l’accès à une clé ou à un mot de passe, à noter que cette modification empêche de voir les connexions « pirates » de ces comptes dans les logs.

Un problème concernant SSH pourrait être l’utilisation de ciphers obsolètes. Vous pouvez vérifier les ciphers proposés par votre serveur avec la commande ssh -vvv pour se connecter. Une connexion sur un serveur donne quelque chose ressemblant à ceci comme résultat ;

ssh -vvv skhaen@exemple.com

[...]
kex_parse_kexinit: ssh-rsa,ssh-dss
kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,
rijndael-cbc@lysator.liu.se
kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-sha2-256,
hmac-sha2-256-96,hmac-sha2-512,hmac-sha2-512-96,hmac-ripemd160,
hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
[...]

Arcfour est en fait un autre nom de RC4, qui pour le coup est cassé depuis un moment. La version 6.7 d’OpenSSH le supprime, et Microsoft recommande de le désactiver depuis 2013.

Pour améliorer la configuration de votre ssh (il n’y a pas que les ciphers), vous pouvez vous référer à ces trois articles. Faites TRÈS attention avant toute modification ! Elles pourraient vous empêcher de vous (re)connecter à votre serveur !

IPSec

Concernant IPSec et comment mieux le configurer, vous pouvez vous référer à l’article de Paul Wouters « Don’t stop using IPsec just yet » (en espérant que le problème se trouve bien là).

TL;DR:

Je peux utiliser quoi alors ?

Il ne faut surtout pas tomber dans le piège « on est tous foutu, rien ne marche, on ne peut rien faire », ce n’est absolument pas le cas. Dans les bonnes nouvelles, nous avons aussi la preuve que Tor, OTR, GPG, TAILS et Redphone sont sûr (ou du moins, l’étaient en 2012).

On notera avec beaucoup d’intérêt qu’il n’y a aucune trace de logiciels commerciaux (bitlocker…) dans les documents.

Dans un autre document, le logiciel Truecrypt est aussi considéré comme « solide », il ne reste plus qu’à attendre que son fork soit prêt.

Le point commun de tous ces logiciels ? Ce sont des logiciels libres.

Les documents sont disponibles sur le site du Spiegel

——-
Cet article a été originalement publié sur www.libwalk.so par Skhaen

Un hiatus, sinon rien (#climat)

Thursday 5 February 2015 à 19:54

ours-polaire-205_jpg

C’est un fait avéré : ne pas suivre le discours officiel catastrophiste sur le dérèglement climatique est un crime de lèse-majesté. Les détracteurs arrivent avec des lames de rasoir sur le clavier, vous insultent et le plus souvent vous traitent d’imbécile, d’incompétent. Avec toujours, dans leur discours, de la « science ».

Eux seraient des scientifiques, formés, qui savent ce qu’ils disent, et vous, un imbécile qui ne comprend pas un traître de mot sur le sujet. Alors que discuter autour d’une affirmation scientifique est en réalité un exercice tout à fait intéressant et normal, en général. Mais avec le climat, ce n’est visiblement pas le cas. Prenons justement le sujet du « plateau climatique », appelé « hiatus » en langue anglaise. En parler, c’est déchaîner l’indignation des grands défenseurs de la vraie science, des pros du réchauffement. Sauf, que ce hiatus existe bien, est réel, et est reconnu par… le GIEC lui-même. Mais qu’est-ce donc ? Et pourquoi est-ce intéressant de regarder la chose scientifique en question ? Parce que c’est de la science, pas de la politique ou de la religion mâtinée d’idéologie et d’intérêts divers et variés.

Il y a une pause dans le réchauffement depuis 1998

Et les modèles du GIEC se sont fait exploser la tronche. Ils le savent, le reconnaissent, essayent de minorer le phénomène,  mais au final, ils  l’avouent. Le titre de cette section d’un rapport du GIEC de juillet 2013 est évocateur : « Modèles climatiques et l’Hiatus dans le réchauffement global de la surface des 15 dernières années ». Les modèles n’ont pas donné ce qui était attendu. Ca na pas chauffé comme prévu. C’est très pénible à lire, très obscur, mais chacun peut aller vérifier.

La communauté scientifique a donc commencé à chercher à comprendre pourquoi le réchauffement était en « pause », donc très faible, n’augmentait que très très peu depuis 15 ans. Cette information a été donnée au grand public,  de manière toujours… très modérée. On retrouve quelques traces ici ou là dans l’espace francophone : http://www.lexpress.fr/actualite/societe/environnement/le-rechauffement-climatique-s-est-stabilise-depuis-15-ans_1276926.html. Et comme les chercheurs cherchent à savoir, il y a des tentatives d’explications, mais qui ne sont pas encore certaines à 90% : http://www.20minutes.fr/planete/1455593-20141006-climat-eaux-fonds-oceaniques-rechauffent-plus-depuis-2005

Ce sont des questionnements de ce type :

« La température moyenne des eaux froides profondes des océans a cessé d’augmenter depuis 2005, ce qui suscite de nouvelles interrogations chez les chercheurs: pourquoi le réchauffement climatique semble se ralentir ces dernières années malgré l’accroissement des gaz à effet de serre ? » Une des principales hypothèses avancées jusqu’à présent pour expliquer ce paradoxe était que la chaleur accumulée par les océans descendait dans les grandes profondeurs. (…) Mais les scientifiques de la Nasa, au Jet Propulsion Laboratory (JPL) à Pasadena, en Californie (ouest), ont analysé les relevés de température des océans de 2005 à 2013. Ces mesures ont été faites par des satellites, et directement dans les eaux océaniques à l’aide de 3.000 bouées réparties partout dans le monde (…) Ils ont découvert qu’au-dessous de 1.995 mètres il n’y a eu quasiment aucun changement de température durant cette période», ont-ils noté dans leurs travaux publiés dans la revue britannique Nature. »

La NASA est aussi sur le coup, et une conférence comme celle-ci, résumée sur leur site, peut donner des informations plutôt intéressantes sur le sujet :

Between 1998 and 2012, climate scientists observed a slowdown in the rate at which the Earth’s surface air temperature was rising. While the rise in global mean surface air temperature has continued, between 1998 and 2012 the increase was approximately one third of that from 1951 to 2012.

Entre 1998 et 2012, les scientifiques du climat ont observé un ralentissement de la vitesse à laquelle la température de l’air à la surface de la Terre augmentait. Alors que l’augmentation de la température de l’air de surface moyenne globale a continué entre 1998 et 2012,  cette augmentation était d’environ un tiers de la période 1951-2012.

Bien entendu, du côté NASA, il n’est pas question d’abandonner la thèse officielle, la chaleur est donc certainement quelque part :

« Observations are showing us the planet is still taking up heat, but it is just showing up in a different place »

That different place is the ocean.

« Ces observations nous montrent la planète accumule encore de la chaleur, mais cela doit juste apparaître dans un endroit différent« ,

Cet endroit différent est l’océan.

Rien n’est encore sorti de concret sur l’accumulation de chaleur dans les océans, et d’autres scientifiques pensent que les volcans peuvent être l’une des raisons :

The “warming hiatus” that has occurred over the last 15 years has been caused in part by small volcanic eruptions.
Scientists have long known that volcanoes cool the atmosphere because of the sulfur dioxide that is expelled during eruptions. Droplets of sulfuric acid that form when the gas combines with oxygen in the upper atmosphere can persist for many months, reflecting sunlight away from Earth and lowering temperatures at the surface and in the lower atmosphere.

La « pause dans le réchauffement » qui a eu lieu au cours des 15 dernières années a été causée en partie par de petites éruptions volcaniques.
Les scientifiques savent depuis longtemps que les volcans refroidissent l’atmosphère en raison de la dioxyde de soufre qui est expulsé pendant les éruptions. Ce sont des gouttelettes d’acide sulfurique qui se forment lorsque le gaz se combine avec l’oxygène dans l’atmosphère supérieure et peuvent persister pendant plusieurs mois, reflétant la lumière du soleil loin de la Terre et l’abaissement des températures à la surface et dans la basse atmosphère.

Revenir à la science ?

Ce qui est intéressant dans cette affaire de « hiatus », c’est de voir — qu’au delà du story-telling terrifiant, relayé en permanence par les mass-médias sur un futur horrible et déterminé par les modèles informatiques [défaillants] des scientifiques au service du GIEC — le climat de la planète, dans son ensemble, ses interactions, n’est pas encore pleinement compris par les sciences qui l’observent. De nombreuses théories se confrontent — loin du public à qui on annonce simplement un monde très difficile à vivre dans 30, 40 ou 50 ans, si « rien n’est fait » — pour tenter de comprendre comment et pourquoi, à certaines périodes, le climat se réchauffe ou se refroidit. Il y avait de grandes inquiétudes sur le réchauffement au pôle nord dans les années… 1920. La glace fondait très fortement. Au point qu’un communiqué de l’US bureau of weather énonça la chose suivante :

« L’Océan Arctique se réchauffe, les icebergs se font de plus en plus rares et dans certains endroits les phoques trouvent l’eau trop chaude. Tous les rapports pointent vers un changement radical des conditions climatiques avec des températures inconnues jusqu’à présent dans la zone arctique. Des expéditions nous rapportent que pratiquement aucune glace n’a été vue au dessus d’une latitude de 81 degrés 29 minutes. D’énormes masse de glace ont été remplacées par des moraines de terre et des pierres tandis qu’en de nombreux endroits, des glaciers bien connus ont entièrement disparu. »

Le document (en lien ci-dessus), se trouve sur le site de la NOAA, la National Oceanic and Atmospheric Administration (USA).

Reflets publie Hell’s r00ts (ebook)

Monday 2 February 2015 à 17:24

hellsrootsReflets.info a décidé de publier une série de livres. Dans les mois qui viennent, vous trouverez dans la rubrique « Ebooks » (en haut à droite du menu général du site) une sélection de livres.

Après la publication d’un recueil de nouvelles, le deuxième ebook (au format PDF, ePub, MOBI ou ibook) est un roman, une sorte de techno-thriller publié par Kitetoa en 2000.

L’histoire : un groupe mafieux décide de détruire le système capitaliste qui régit la planète pour son plus grand profit. En manipulant l’information financière et les marchés financiers, en utilisant la presse, via des piratages informatiques, il ébranle le système. Les services de renseignement et un journaliste informé par un mystérieux « Bill Cinton » tentent de s’opposer (on sait ce que l’on perd, on ne sait pas ce que l’on va gagner). Les hackers sont également de la partie. Ce roman est basé sur des faits réels ou réalisables, et si les noms ont été modifiés, il est nourri de choses tout à fait possibles. Vu sa date de publication, il est probablement le premier manuel de cyber-terrorisme iy de cyber-guerre qui pourrait marcher. Fort heureusement, l’organisation décrite dans ce livre n’a pratiquement aucune chance de voir le jour.

Que se passe-t-il si j’achète le livre ? Nous recevons votre paiement via Paypal (vous pouvez aussi régler via Paypal avec une carte bancaire sans avoir de compte Paypal). Nous vous adressons l’ebook par mail dans les heures qui suivent.

Pourquoi proposez-vous plusieurs prix ? Parce que produire un livre, c’est quelque chose de long et pas forcément simple. Fidèle à ses principes, Reflets.info tente de proposer le prix le plus bas possible mais pense que si vous vous aimez ce que nous faisons, vous aurez peut-être envie de nous soutenir un peu plus fortement…


Choisir le prix



Reflets publie 12 cigarettes (et autres nouvelles d’anticipation)

Monday 2 February 2015 à 15:34

Des nouvelles, plus ou moins longues, mais qui toutes traitent d’un même sujet : le monde du XXIème siècle, la technologie et ses effets sur la vie humaine. 12 cigarettes est un récit étrange se passant dans un lieu que l’on soupçonne être un hôpital psychiatrique et qui pose la question du réel qui nous entoure et des possibilités de l’informatique quantique. Ma vie Google est une dystopie (contre-utopie) décrivant la journée standard d’un homme en 2035 entièrement googlisé…

5 nouvelles, 5 styles différents, 5 histoires sur notre futur proche publiées par Reflets Editions.

Ebook en papier vélin numérique, imprimé à la main bits par bits, cousu au clavier azerty, le tout au format PDF et Epub. 70 pages en corps 16 points.

ebook-12-clopes

1. Ma vie Google

2. Un homme comme les autres

3. Histoire politique : tout dépend du point de vue

4. 12 cigarettes

5. End of file


Choisir le prix
Choix du prix




Le roi des mouches (1. Hallorave)

Monday 2 February 2015 à 11:26

Le Roi des MouchesLe roi des mouches vous connaissez ? Non ? Alors prenez un peu d’acide, je vais vous en parler…

Eric c’est le roi, sa majesté des mouches. Il vit dans le lotissement des sapins bleus, avec sa mère qui vient de divorcer pour la deuxième fois.

Un soir d’automne, un chat, une mouche et un squelette se rendent à une rave, complètement défoncés au whisky et aux extas. Ce soir-là, Eric se tape Sal, la copine de Damien. Mais en pleine séance de baise, Eric voit Damien se faire faucher par une bagnole et mourir sur le coup.

Et puis il y a Marie. Marie sort avec Denis, un petit dealer local qui se fait casser la gueule par Jiminy (le double cool mais alcoolique de son beau-père). Leur histoire ne dure pas vraiment et Marie fini par coucher avec Eric. Sal, qui le découvre par hasard, a forcément un peu de mal à avaler la pilule (et là pour une fois on ne parle de drogue).

Tout va bien ? Vous arrivez à suivre ou j’en roule un petit avant de continuer ?

Non parce qu’il y a aussi Karine.

Karine travaille pour M. Becker, un vieux plus vieux que son père, qu’elle accompagne au bowling et dans son lit. Eric fantasme à mort sur Karine, mais reste à ses yeux un taré à tête de mouche.

Et puis il y a Ringo, qui est persuadé que les yeux sont les portes de l’âme. Entre deux détournements de marchandises, une attaque à l’insecticide et une inspection rétinienne, le grand Ringo décide qu’Eric est sauvable. Il lui prodigue donc quelques conseils bienveillants et deux ou trois coups de poing bien violents dans l’estomac.

Et puis évidemment il y a les Stones, que l’on peut faire apparaitre à tout moment à condition de les vénérer…

Tous ces personnages se croisent et interagissent au fil des pages de cette œuvre psychédélique où sexe, drogue, violence et rock and roll s’entremêlent artistiquement. Le roi des mouches, c’est une B.D. qui donne l’impression de rouler vite les yeux fermés, d’être raide sans n’avoir rien consommé, de planer au dessus d’un monde complètement jeté…

Alors allez-y sans modération, et faites tourner ;)

Le roi des Mouches (1. Hallorave)

Mezzo – Pirus

Glénat