Libre pensée de la Zone 51 de l'informatique

L’info est dans le Morgen de vendredi passé (13 juin 2008). Selon un rapport de la KU Leuven présenté à La Haye lors d’un congrès e-Identity, la carte d’identité électronique belge “n’est absolument pas sûre et son utilisation doit être déconseillée.Les chercheurs estiment qu’il faut arrêter d’utiliser la carte électronique et que le logiciel doit être redeveloppé.” Outre les problèmes liés à la puce, les scientifiques mettent également en garde contre les risques d'atteinte à la vie privée, de fraude et de chantage. En cause, le mécanisme de sécurité de la carte qui peut être facilement détourné et le fait qu’on puisse utiliser la carte sans installation ou mise en marche du logiciel reconnu par la Fedict.

http://lists.debian.org/debian-security-announce/2008/msg00152.html

Lire la suite

Je me devais de relayer la chaîne ;)

Ici, nulle chaîne de coeur, pas de petite brésilienne aveugle.

C'est juste pour montrer qu'il n'y a pas de secret inviolable et que la théorie de l'obscurantisme n'est jamais la meilleure.

Ces chiffres ne sont pas les chiffres du lotto.

Il s'agit d'un nombre exprimé en hexadécimal. Ce nombre est un nombre secret, ou plutôt qui était secret jusqu'il y a peu. C'est la clé servant à chiffrer la majorité des DVD Haute Résolution. Sans cette clé, impossible de lire un DVD.

Bien sûr, les grosses boîtes d'Hollywood espéraient bien garder cette clé secrète, mais voilà, dans un monde libre et connecté, rien ne peut rester longtemps secret.

Que vont-ils faire maintenant ?

• Changer la clé ? Cela voudrait dire rappeler tous les appareils et changer tous les DVD.
• Arrêter le méchant découvreur et le payer pour qu'il se taise ? Inutile, il y a déjà plus de 273.000 sites ou blog référant le code.
• ...

Comme dirait une grande marque de café soluble : Open up !

Définition du site Tor :

Tor est une panoplie d'outils pour un grand nombre d'organisations et de personnes qui veulent améliorer leur confidentialité et leur sécurité sur Internet. Utiliser Tor peut aider à rendre anonyme votre navigation et publication sur la toile, vos : messagerie instantanée, IRC, SSH et les autres applications utilisant le protocole TCP. Tor fournit aussi une plate forme sur laquelle les développeurs logiciels peuvent créer des nouvelles applications avec anonymat, sécurité et confidentialité intégrés.

Le but de Tor est de se protéger de l'analyse de trafic, une forme de surveillance des réseaux qui menace l'anonymat et la confidentialité des personnes, les activités et les rapports confidentiels commerciaux. Avec Tor, les communications rebondissent à travers un réseau de serveurs distribués (nœuds), appelés onion routers, qui vous protègent contre les sites web qui enregistrent les pages que vous visitez, contre les observateurs externes, et contre les onion routers eux-mêmes

La sécurité de Tor s'améliore à mesure que le nombre d'utilisateurs s'accroît et que plus de volontaires créent de serveurs. Veuillez prendre en compte le fait d'offrir de votre temps ou d'offrir votre bande-passante.

Et vraiment, cela fonctionne. Il suffit de coupler cela avec Privoxy pour éviter les possibilités d'être démasqué avec les requêtes DNS et vous naviguez anonymement sur Internet.

Bien sûr, le temps de réponse aux requêtes http est plus long car la demande passe par plusieurs machines différentes, donc, un temps de réponse ralentit mais rien de bien exagéré.

Quelques liens :

• Une documentation très bien faite pour Ubuntu

• Le plugin firefox pour activer/désactiver tor en un clic

• Le test de votre connexion

Salut à tous,

Cette année, la nouvelle édition du Hack.lu, LE rassemblement sécurité organisé au Grand Duché du Luxembourg se déroulera du 19 au 21 octobre 2006 à Luxembourg-Ville/Kirchberg. Pour cette nouvelle édition, j'espère rassembler une équipe pour participer au CTF.

Q : Qu'est ce que le CTF ?

R : C'est une joute informatique où plusieurs équipes s'opposent les unes contre les autres (pour le fun et la bonne humeur) afin d'obtenir un maximum de points en sécurisant un serveur et en attaquant celui des autres. L'équipe ayant le plus de points gagne ;) Simple non ?

Q : Oui mais je suis pas un cracker ...

R : Moi non plus, il faut juste être un hacker et savoir s'amuser. Personnellement, je ne vise pas la victoire mais l'enrichissement personnel par un peu d'étude préalable et passe un bon moment.

Ceux qui me connaisse ou qui désire passer un bon moment de hacking même entre débutants peuvent me contacter.

Sinon, vous pouvez toujours consulter le site de Hack.lu Section CTF

Vous pouvez créer également votre propre équipe mais premier inscrit, premier servi et les places ne sont pas illimitées.

Bruce Scheier, dans un article publié dans Wired, nous dévoile que la société Blizzard installe un logiciel espion (spyware) qui vérifie toutes les 15 secondes que les joueurs de ses jeux en ligne (comme World of Warcraft) ne trichent pas et respectent sa licence d'utilisation. Mais le problème vient que ce logiciel récupère également des adresses de personnes en contact via messagerie instantanée (MSN pour pas le citer), ouvre un logiciel de messagerie, regarde les adresses dans le navigateur Internet, et vérifie en fait tous les programmes et les processus lancer. Dès lors, le respect de la vie privée n'est plus vraiment respectée vu que ce logiciel qui s'installe sans prévenir fait bien plus que vérifier ce que l'on pourrait "éventuellement" comprendre comme légitime.

Doit-on considérer que c'est le premier spyware "légal" par rapport à la licence ? Cela va-t-il créer un précédent juridique de l'autorisation de spyware pour la vérification de la bonne application d'une licence.

Une autre interrogation est l'affaire Sony. Sony, qui est entre-autre producteur CD, a trouvé bon de mettre un rootkit . Le rootkit est un petit programme généralement utiliser par ceux qui désire entrer illégalement et de façon discrète en ouvrant une faille de sécurité dans la protection de votre PC afin de s'introduire dedans, voler des information, suivre vos habitudes et vos préférences sans votre collaboration ni votre assentiment.

Personnellement, j'utilise Ubuntu qui est une distribution Linux, le schéma de ses spyware et rootkit ne me concerne pas vraiment (encore un avantage des logiciels libres) mais je me pose de sérieuses questions concernant toutes ses affaires. De quel droit, ces éditeurs se permettent d'installer sans votre accord des programmes ainsi ? Personnellement, j'y suis opposé.

Pourquoi doit-on également obligatoirement les installer (même sans en être conscient) pour pouvoir lire les CD dans notre ordinateur ?

Il est vrai que je suis assez attaché aux logiciels libres et aux valeurs qui sont prônées. Mais est ce bien nécessaire de limiter le pouvoir et la liberté des acheteurs sur leur biens ? On se rapproche un peu de la problématique des DRM. Une personne qui achète un CD ou un jeu en toute confiance ne peut l'utiliser de la manière qu'il désire. Je m'explique. Si j'ai un CD original et acheté avec mon argent, pourquoi ne pourrais-je pas le lire simplement sur mon ordinateur, en faire des fichiers numériques comme les MP3 ou les OGG puis les mettre sur mon lecteur portatif ? Pourquoi les producteur du disque qui essayent de faire un maximum de profit en essayant de limiter le pouvoir de l'utilisateur et en lui soutirant beaucoup d'argent (je suis également contre le fait de dire que c'est la TVA qui rend les CD plus cher), lui vole des informations qui me semble sont personnelles et de plus, l'empêche de faire ce qu'il désire avec la musique achetée légalement ?

Personnellement, cela me révolte même si grâce à Linux (GNU/Linux pour les puristes), je n'ai plus de problèmes de ce genre.

Mais plus fort que tout, Bruce Schneier pointe aussi du doigt est grosses société qui s'auto-proclame faire de la "sécurité informatique" du genre de Symantec ou McAfee qui fournissent quand même les programmes d'anti-virus les plus vendus (je n'ai pas dit les plus efficaces) mais qui ne réagissent pas beaucoup dans ce sens pour les problèmes énoncés plus haut.

En effet, la nouvelle concernant l'existence du rootkit de Sony est arrivée le 31 octobre. Pour le moment, 20 novembre, ils n'ont publiés qu'un logiciel qui permet de cacher le rootkit !!!! Le rootkit est donc toujours installer sur des millions d'ordinateur impunément. L'excuse invoquée est que retirer le rootkit peut causé du tort à l'ordinateur ! Sont-ils vraiment des spécialistes (de la sécurité) informatiques ? Il y a de quoi se poser des questions. On les paye pour assurer la protection de nos ordinateurs. Ils protège nos ordinateurs des virus, des vers, des malwares écrits par des soi-disant "organisations criminelles" mais pas ceux des multinationales ?

C'est vraiment prendre les gens pour des idiots .... C'est comme si vous engagiez un garde du corps pour vous protéger du méchant Jean Ramier qui va essayer de vous volez tous vos bien mais ce même garde du corps laisse les gars des grosses sociétés vous volez votre identité, votre carte SiS, votre numéro de carte verte, votre emploi du temps, vos documents, les noms de vos contacts, .... Aurez vous encore confiance dans garde du corps ? Allez vous encore lui payer son annuité de "protection" ? Personnellement, c'est un non catégorique.

Le User Agent Switcher extension ajoute un menu et un bouton à la barre d'outils afin de modifier les informations envoyées aux sites que vous visitez au sujet de votre navigateur et de votre système d'exploitation.

Il est crée pour Firefox et Mozilla et tournera sur n'importe quelle plate-forme sur lesquelles ces programmes fonctionnent dont Windows, Mac OS X et Linux.

Le site

A two days conference in the center of Europe for bridging ethics, security in computer science.

Welcome to the public web site and wiki of hack.lu 2005. Hack.lu is an open and free convention/conference where people can discuss about computer security, privacy, information technology and its cultural/technical implication in the society. The aim of the convention is to make a bridge of the various actors in the computer security world.

Hack.lu 2005 will be held on Friday/Saturday 14-15 octobre 2005 at Luxembourg/Kirchberg.

Wiki-site

L'info n'est pas très neuve mais voici la transcription de l'article du 28 avril 2005 du site http://www.veridis.com/index.php/content/view/23/42/

Lire la suite

"Les documents PDF peuvent dorénavant être signés en toute sécurité grâce à la carte d'identité électronique, déjà dans le portefeuille de quelque 350.000 Belges."

Article

Selon Alexandre Dulaunoy :

En toute sécurité ? C'est assez relatif...

http://www.cs.dartmouth.edu/~sws/papers/cms02.pdf (Digital signatures and electronic documents: a cautionary tale)

http://security.dstc.edu.au/papers/JPH2002-AUUG.pdf (What You See is Not Always What You Sign)

http://www.swiss.ai.mit.edu/6.805/student-papers/fall97-papers/fillingham-sig.html (A Comparison of Digital and Handwritten Signatures)

Pour pouvoir utiliser une technologie d'une façon sure, il est nécessaire d'en connaitre ses limites ainsi que les risques associés. Ici, on nous présente la carte eID comme une solution miracle mais il n'a jamais existé de solutions miracles... On néglige d'expliquer les risques et les mesures à prendre pour limiter ces risques.