Affaire « Robin Sage » : les erreurs des experts.
24/07/10
Aujourd’hui, d’après un article du Figaro.fr, nous apprenons qu’une mystérieuse jeune femme, Robin Sage, a eu accès à de nombreuses données confidentielles.
Comment ? De la même manière qu’Hacker-Croll avec Twitter : en ayant accès aux profils Facebook/Twitter/LinkedIn d’experts en sécurité, de militaires, et d’employés assez bien placés. Puis en décortiquant les informations, elle a eu accès a des données qu’elle n’aurait jamais dû voir.
Je vous propose de passer en revue les multiples pièges dans lesquels ces hommes importants sont tombés. En quelque sorte, ce fut une petite démonstration de social engineering. Ah, l’interface chaise-clavier…
1) Croire que Robin Sage était une femme.
Première erreur, sévère mais excusable. En effet, Robin Sage est un étudiant du MIT qui, en réalité, s’appelle Thomas Ryan. Ce n’est pas l’erreur la plus grave a avoir été commise, mais en tenant compte de la phallocratie encore très présente dans le monde du travail, le choix d’incarner une femme s’imposait naturellement. Bien évidemment, un inconnu mâle accepte plus facilement l’invitation d’une jolie jeune femme que celle d’un homme…
2) Croire au parcours professionnel de Robin Sage.
Seconde erreur, plus difficilement excusable. Facebook ne dit pas que la vérité et rien que la vérité, car Facebook n’a pas de main droite…
N’importe qui peut dire avoir fait Harvard, Yale, MIT Polytech’, Todai, l’Assomption…et se fier aveuglement à ce qui est écrit peut coûter cher. C’est le cas ici.
3) Ne pas avoir fait de groupes sur Facebook ?
Une hypothèse, oui, mais une hypothèse probable. Si « Robin Sage » a eu accès à des données personnelles ayant compromis la sécurité d’autres comptes (e-mails, bancaires), c’est certainement parce que tous les « amis » disposaient d’un accès complet à toutes les informations. Grossière erreur !
L’élément le plus important de l’affaire est précisément celui-ci : les contacts Facebook doivent être rangés par groupes. Et certains éléments du profil ne doivent pas être accessibles à des inconnus. Les paramètres de confidentialité sont suffisamment étoffés pour pouvoir « sécuriser » proprement son compte.
4) Les questions secrètes.
Le second maillon faible. Pour des experts en sécurité, voilà qui n’est pas excusable non plus. Un mot de passe ne doit pas être oublié. La question secrète ne doit pas avoir à être utilisée. Pour Thomas Ryan, la tâche ne devait pas être très compliquée : si la question portait sur le plat préféré de M.X et que celui-ci était « fan » de raclette sur Facebook…
Si, lors de l’ouverture d’un compte mail, la question secrète est obligatoire : répondez-y en mettant de mutilples caractères sans aucun sens. C’est primordial, autant qu’un bon mot de passe. (si ce n’est plus !)
Conclusion
Experts en sécurité, militaires, employés, ou simples utilisateurs, parfois il n’y a aucune différence. Les leçons à retenir de cette affaire :
- Si vous acceptez un inconnu sur Facebook, placez-le dans un groupe qui n’aura pas accès à des données « sensibles ». (telle que votre adresse email par exemple)
- Répondez à vos questions secrètes par une suite de caractères sans aucun sens.
- Utilisez des mots de passe robustes ! (des dates de naissance en guise de mot de passe, j’en ai vu passer…)
- Attention à vos publications. (si vous êtes militaire, ne dévoilez pas vos prochaines opérations…)
Bref, soyez prudents ! 
Vie numérique et vie réelle : cohabitation ?
22/07/10
Avec 60,4 % de la population française disposant d’un accès à Internet et un taux de pénétration du mobile frôlant les 92 %, l’existence d’une vie numérique n’est plus à démontrer. Votre voisin, votre collègue, vos enfants, et même peut-être vos parents sont membres d’un ou plusieurs forums qu’ils consultent régulièrement, possèdent un compte Facebook, et envisagent de s’inscrire sur Twitter. Et vous ? Vous en êtes probablement au même point.
La fréquentation d’un réseau social est en passe de devenir un standard. Ne pas être inscrit sur Facebook/Twitter devient une attitude marginale. (antisociale diront certains)
Au final, que pouvons-nous retenir de cette existence numérique ?
1) Une image à construire et affirmer
La vie numérique est pour certains l’outil idéal pour cultiver une image. Leur compte Twitter est pseudo-philosophique, leur compte Facebook est « bien rangé ». Pour d’autres, c’est une façon de se défouler : leur Facebook déborde de photos (plus ou moins NSFW…), et leur Twitter se veut drôle et détendu. Les éventuelles conséquences ne constituent pas un problème pour eux.
On se retrouve donc avec deux conceptions qui s’opposent, mais avec au final une même volonté, primant sur cette volonté de se faire un portrait virtuel.
2) Une volonté de communiquer un maximum…
Téléphone en poche ou ordinateur sur soi, la véritable motivation des accros de la vie numérique est la communication. Rester au plus près de ses amis, partager ses activités, ses points de vue, ou même s’amuser. Peu importante la distance qui les sépare, la magie d’Internet leur permet de toujours rester en contact. Et éventuellement, cela leur permet de faire de nouvelles connaissances, qu’ils ne rencontreront pas forcément.
3) …et de se rencontrer plus souvent ?
À travers les apéros Facebook et les Twitperos, la vie numérique s’arrête pour laisser place à des rencontres bien réelles.
Pour autant, peut-on dire que la vie numérique est au service de la vie réelle ? Je n’ai pas pour volonté de donner une réponse précise mais tentons d’y voir plus clair…
SMS, mails, réseaux sociaux, peut-on affirmer que les nouvelles technologies multiplient les véritables interactions entre les personnes ? Au contraire, ne diminuent-elles pas les rencontres, puisqu’il est plus simple de se parler « online » ? Notre vie numérique ne fait-elle pas de l’ombre à notre vie réelle ?
Pour autant, nous ne pouvons pas non plus dire que la dématérialisation de nos relations sociales constitue un problème. Toutefois, il est certain, dans bien des cas, que le temps que nous passons en ligne à converser avec nos semblables est nettement supérieur à celui que nous passons avec eux.
Le juste milieu est donc difficile à atteindre. Cependant, qui s’en plaint ? C’est une évolution que l’homme accepte et à laquelle il contribue. En toute conscience ? Peut-être…
Vol de session : a child’s play.
13/07/10
Tout d’abord, bravo à ceux qui ont vu en ce titre un clin d’oeil au titre original de « Jeu d’enfant », c’est-à-dire le premier Chucky. 
Toute communication claire entre A et C passant B est non sûr. De ce fait, tout peut être vu, lu, enregistré et au pire : utilisé.
De nos jours, tous les sites (ou presque) disposent de « session », administrateur ou non. Votre webmail, votre compte Meetic (mauvais exemple ? Je sais), Facebook, Twitter etc. peuvent être à la portée de n’importe qui, sans même avoir besoin de connaître votre mot de passe.
Je vais aborder (rapidement) l’utilisation frauduleuse qui peut être faite des cookies. Pour aller voir plus loin, je vous conseille l’excellent article de Denis Bodor dans le GNU/Linux Magazine Hors-série N°42.
1. La cible : Kenshin, utilisateur du forum Fedora-fr. (et Roi des trolls)
Kenshin trolle trop, c’est insupportable. Vous avez décidé d’usurper son identité afin de le faire bannir définitivement. Mais c’est un utilisateur prudent, il utilise des mots de passe complexes. (jusqu’à 27 caractères en hexadécimal + caractères spéciaux, bonne chance ! 
)
Vous allez donc récupérer le cookie qui conserve sa session ouverte sur le forum.
2. Capture des paquets.
L’attaquant doit capturer tout ou partie du trafic entre le serveur HTTP et le client. Dans le cas présent, imaginons que vous êtes connecté à mon réseau local. L’ARP Spoofing redirigerait le trafic vers votre machine, ainsi vous pourrez récupérer ce que vous souhaitez.
Le cookie est initialement envoyé par le serveur (ici, celui de fedora-fr.org), mais le client le présente à chaque requête. Une chance, je me rends très souvent sur le forum.
Arpspoof/Ettercap-ng, peu importe, votre ARP Spoofing fonctionne. Là (j’ai pris WireShark, mais ngrep peut faire l’affaire), vous avez patiemment analysé le trafic, et vous avez découvert ceci :
Ça y est. Le cookie fedorafr_punbb est le bon. Vous allez pouvoir usurper mon identité. (Super, non ? )
3. Utilisation frauduleuse du cookie.
Pour Firefox, il existe l’excellente extension Add ‘n’ edit cookie. L’utilisation est très simple. On ouvre l’extension, on ajoute le cookie (en remplissant correctement les champs) et on enregiste.
Maintenant, vous pouvez me faire bannir du forum. Merci
4. Autre exemple ?
Si j’ai utilisé Meetic en exemple plus haut, c’est pour une bonne raison. (non, je n’ai pas de compte Meetic) Je peux vous dire que c’est très peu sécurisé.
- Lors d’une connexion à la session, le nom d’utilisateur/mot de passe sont en clair dans l’URL. Votre attaquant n’aura pas besoin de cookie…
- Si Meetic vous envoie un email, vous serez connecté juste en cliquant sur un lien. Là encore, le cookie est inutile…
- When you establish a connection to your account, your login/password appears in clear in the URL. Your attacker won’t need a cookie…
- If someone click on a link send by Meetic (in your mailbox) he’ll be automatically connected. Again, cookie is useless….
Autant dire que si quelqu’un à accès à votre adresse mail, il aura de ce fait accès à votre compte. Ça risque d’être tendu avec vos prétendantes…:D
First, congratulations to people seeing my wink to Child’s play, the first Chucky movie.
Any communication between A and C passing by B is unsecure. Then, everything can be seen, read, saved, and the worst : used.
Today, all websites (or almost) are using cookies. They provide « sessions », admin or not. Your webmail, your Meetic account (not a good example ? I know), Facebook, Twitter etc. can be used by anyone, without your password.
I’m gonna talk (quickly) about the misuse which can be done with cookies.
1. Target : Kenshin, Fedora-fr forum user. (King of trolls)
Kenshin is trolling too much, it’s intolerable. You want to usurp his identity to get him out. But he’s a prudent user, using complex passwords. (27 hex characters + special characters, good luck !)
So you’re gonna stole the cookie keeping his session opened.
2. Packets capture.
Attacker must capture all or part of trafic between HTTP server and client. In our case, let’s imagine you’re connected to my local area network. ARP Spoofing would redirect trafic to your computer, then you could read all you need.
The cookie is initially sent by the server (here : fedora-fr.org), but the client presents it to each query. Luckily, I go very often on the forum.
Arpspoof / Ettercap-ng, whatever, your ARP Spoofing works. There (I took WireShark but ngrep is good too), you patiently analyzed the traffic and you’ve discovered this. (see the image above)
It’s okay. The fedorafr_punbb is the good. You will be able to steal my identity. (Awesome, isn’t it ? )
3. Misuse of a cookie.
For Firefox, you can install the Add ‘n’ edit cookie plugin, easy to use. Just open it, add the cookie, and save it. (see the image above)
Now you can have me banned from the forum. Thanks
4. Another example ?
If I’ve used Meetic as a exemple above, it’s for a good reason. Indeed (no I haven’t a Meetic account) it’s very unsecure.
So, if someone has an access to your mailbox, he will be able to have an access to your Meetic account. It could be bad for the girl(s) you are looking for…
Midori : lightweight web browser
12/07/10
Léger, WebKit inside, Midori est un jeune navigateur Web en pleine évolution. Disponible pour GNU/Linux et Windows dans sa version 0.2.6, il est développé par 2 personnes : Christian Dywan et Nancy Runge, visiblement beaucoup attirées par le pays du Soleil Levant. (d’où le nom Midori (緑), qui signifie vert)
Pour l’installer, c’est très simple, il est dans les dépôts.
→ Debian
# aptitude install midori(Apt-get ? Non. Ce n'est pas du troll, mais du bon sens.)
→ Fedora
# yum install midoriMidori est installé, on peut le lancer ! Première constatation, l'inspiration "Opera". On retrouve le Speed Dial.
Crédits photo : TwoToasts.de
Malheureusement peu nombreuses, Midori embarque tout de mêmes quelques extensions. (dont le très connu Mouse Gesture, qui permet de contrôler la navigation à la souris.)
L'autre regret : l'absence d'une Awesome Bar. J'espère qu'on finira par en avoir une.
Au final, Midori avance doucement mais sûrement, c'est donc un navigateur à surveiller de près. N'hésitez pas à l'essayer et à l'adopter, au moins comme navigateur secondaire.
P.S : L'image d'illustration est signée de ma main. 美しいだよね。:) (Ok, un petit peu retouché avec the GIMP pour la couleur et le repassage)
OpenGraph ne passera pas !
7/07/10
Truc aime ça. Machin aime ça. 42 clampins aiment ça. Confidence pour confidence : ça me gonfle.
Après cette introduction mal foutue mais incisive, laissez-moi vous conter pourquoi OpenGraph, la supra-technologie de Facebook, ne sera jamais présente sur Kenshin-blog.com. Premièrement, Kenshin-blog.com est un petit blog. Un tout petit, avec au maximum 200 visites/jour, au minimum 70 visites/jour. Ensuite, vous l’aurez remarqué, Facebook tisse sa toile un petit peu partout. Les blogs, les sites d’informations : les « J’aime » ont envahi le Web. Avoir un compte Facebook deviendrait presque obligatoire. Je ne m’étendrai même pas sur les récupercussions sur la vie privée.
Cette hégémonie me dérange tout particulièrement. Et ce n’est pas Google et Me, son chevalier blanc, qui viendra y mettre fin. Google se trompe, Google va flopper, une fois de plus.
Et finalement, à quoi sert OpenGraph pour ses utilisateurs ? Le plaisir de « s’afficher » ? Parce que pour partager une information, il existe déjà tout ce qu’il faut.
Afficher son nom partout où l’on passe sur le Web n’est définitivement pas une bonne solution. Se laisser tenter par OpenGraph, c’est donner plus de pouvoir à Facebook, une société qui, assurément, rêve d’une destinée à la Google…en mieux. Elle veut centraliser toutes vos activités virtuelles, pour mieux vous connaître, et de ce fait, pour que les marketeurs vous connaissent mieux.
Finalement, de la volonté de vouloir rapprocher les gens et concevoir un monde où ceux-ci communiquent plus, nous sommes en train d’obtenir un monde où les individus substituent le virtuel au réel, où le nombre d’amis est un indicateur de la pseudo-sociabilité de la personne, et où l’homme approuve ou désapprouve une idée, une marque, une information…l’utilisateur devient un pion, un pion surveillé, un pion que l’on vend, que l’on échange. Mais paradoxalement, ce pion est consentant.
Firefox 4 Pre-Bêta
30/06/10
Aujourd’hui est disponible la première Pre-Bêta de Firefox 4. Côté performances, celle-ci reste en retrait dans le sens où le moteur Javascript se classe en 5ème position. Quant au HTML5Test, Firefox affiche 189 points + 9 points bonus.
L’autre grand changement réside (ou pas) dans l’interface graphique. Pourtant, sous GNU/Linux, celle-ci reste identique à celle des Firefox 3.x. Petit aperçu des changements sous Windows.
Sous GNU/Linux, on remarquera un bouton Feedback, permettant d’annoncer à l’équipe si on est content, ou pas content !
Quant à la page des add-ons, elle est désormais d’un genre nouveau :
Donc, pas de grandes nouveautés pour l’instant. :p
Today Firefox 4 Pre-Bêta is available. About performances, it lags behind other competitors, the new Javascript engine is 5th. And about HTML5Test, Firefox earns 189 points + 9 bonus points.
The other change is in GUI. (or not) Indeed, under Windows, here’s the new Firefox.
However, under GNU/Linux, the GUI looks like Firefox 3.x. Just a feedback button to say to the team if you’re happy or unhappy, and why.
And the add-ons page has a new-style. (see all images above)
So, until now there’s no big changes. :p
Pourquoi l’anonymat est-il nécessaire ?
16/06/10
Après le sénateur Masson, c’est au tour d’un autre homme politique de Moselle, monsieur André Wojciechowski (UMP), de vouloir faire « tomber les masques » sur Internet, plus spécialement sur les messageries en ligne.
Nous avons été assommé de campagnes de prévention sur l’intérêt de ne pas divulger son identité sur Internet (pédophilie, enlèvement, etc..), désormais l’inverse semble être de mise. Paradoxal n’est-ce pas ?
On est en droit de se demander quelle mouche a piqué nos parlementaires au point de devenir de véritables pourfendeurs de la diffamation en ligne. Véritable problème ou simple envie de s’afficher ?
Outre le fait que la diffamation soit répréhensible et que la volonté de la punir soit une intention louable, je suis opposé au fait que notre identité soit clairement révélée sur Internet.
En effet, à l’ère de Facebook, Twitter, et autres réseaux sociaux en vogue, divulguer sa véritable identité est devenu un réflexe presque naturel. Pourtant, cette pratique comporte des risques qui sont désormais connus. (je prends pour exemple mon journal local, le Républicain Lorrain, qui révèle que 35% des employeurs ont renoncé à embaucher après consultation d’un profil Facebook.)
Ensuite, comment se présenterait cette levée d’anonymat ? Qui aurait accès à la véritable identité de l’internaute ? Tout le monde ? Les autorités seulement ? (l’adresse IP permet déjà de retrouver facilement une personne…l’anonymat n’est donc qu’une illusion.)
Il faut savoir que l’anonymat, ou cette impression d’anonymat, n’est pas uniquement mauvaise. On trouve de nombreux forums ou des personnes sous pseudonyme peuvent parler de leurs problèmes (santé, amour, finances, etc…), chose qu’elles ne feraient probablement pas « à visage découvert ».
L’anonymat sur les forums, même partiel, est donc nécessaire.
Quant aux blogueurs, là aussi, une identité clairement visible par tous n’est pas une solution mais une entrave. Certains blogueurs (pas forcément amateurs de diffamations) aiment pouvoir s’exprimer sans devoir afficher leur véritable identité. (parce qu’ils émettent des opinions politiques ou personnelles pouvant avoir des répercutions dans leur vie)
L’anonymat de certains blogueurs peut donc aussi être nécessaire.
Pour finir, il est amusant de remarquer que le gouvernement planche sur « le droit à l’oubli », tout en souhaitant que les internautes puissent être clairement identifiés. Voir ressurgir un « topic » où vous déclarez ouvertement votre orientation politique sous votre véritable identité ou vos problèmes de couple, de santé, ne vous plaira certainement pas.
Cependant, je ne suis pas contre le fait de vouloir accélerer la procédure permettant d’obtenir l’identité d’un internaute pour pouvoir engager une poursuite judiciaire. (si toutefois cette procédure est réellement longue)
Le débat reste ouvert.
Playlist !
14/06/10
Je vous propose ma playlist, composée de mes chansons préférées. Celle-ci comporte les groupes rangés par ordre alphabétique, puis les titres des chansons. Chaque lien pointe vers Youtube/Deezer (en fonction de la qualité).
I purpose you my playlist, composed of my favorite songs (with in an alphabetical order the name of bands, and titles.) Every link is pointing to Youtube/Deezer (depending on the quality).
Orange ou comment prendre le client pour un con.
13/06/10
Petite révolution chez Orange. Non content de vous vendre une offre Internet, le FAI français propose désormais de vous vendre, à valeur de 2€, un logiciel qui bloquera l’exécution de programmes P2P.
Surfant sur la vague de trouille provoquée par la bande d’éclopés de l’HADOPI, Orange se permet donc de prendre les clients pour des cons en leur fourgant une saleté de plus à installer sur leurs machines. (vous allez me dire « Pour les gamins, ça peut être pratique »). Je vous réponds : « Aux gamins on leur apprend à utiliser Megaupload » ^^
Allez, je vais leur donner une bonne idée : un logiciel qui te balance direct à l’HADOPI en cas d’utilisation frauduleuse de contenus protégés par droit d’auteur. (non pas téléchargement, le gogo il a acheté le logiciel de contrôle de téléchargement)
Orange, toujours à la pointe de la connerie. (aujourd’hui j’y vais franco)
Crédit image : Korben
P.S : Si vous êtes intéressé par ce merveilleux logiciel, vous pouvez l’acheter sans crainte, c’est vraiment très sécurisé, son exécution ne présente aucun risque. o()o
Foremost : data recovery
5/06/10
Zut ! Vous venez de supprimer tout un album de photos de votre dernière sauterie geek party ! Sous GNU/Linux, comment peut-on faire pour récuperer des données ? Un logiciel développé par les agents spéciaux Kris Kendall et Jesse Kornblum pour le service d’enquêtes spéciales de l’US Air Force (wow, c’est la classe 8-)) est fait pour ça. Son nom : Foremost.
Comment ça marche ? C’est très simple.
Quand vous supprimez un fichier, vous le ne supprimez pas vraiment. Seul le pointeur disparaît. Votre fichier est donc toujours physiquement présent sur votre disque dur. Ce sont les réécritures sur le disque qui auront raison de lui par la suite. Avec le temps et les multiples réécritures, les chances de récupérer un fichier s’amenuisent.
Prêt ? C’est parti !
# yum install foremost
ou
# aptitude install foremost
Foremost est installé. Maintenant, en fonction de la partition (partition de disque dur ou d’appareil photo, clé USB etc…) où se trouvaient vos données, on va demander à Foremost d’aller les trouver.
Audit simple. (Foremost écrira dans un fichier audit.txt ce qu’il peut récupérer)
# foremost -w -i /dev/sdb1 -o ~/audit/
Ici le man en ligne de Foremost.
Récupération de données. (exemple : fichiers .jpg)
# foremost -t jpg -i /dev/sdb1 -o ~/data/
Alors, heureux ? (si vous n’avez qu’une demie-image, ou un tout petit bout, c’est qu’elle se sera fait un peu écraser la tronche )
N.B : La photo illustrant l’article est mon oeuvre. ^^
English readers, you’ll find a good article about data recovery with Foremost. So, I redirect you on the Tombuntu’s website.
