State of the Onion (Tor Project)

Ceci est une synthèse de la conférence, je ne suis pas en accord avec tous les points de vue exprimés.

Le projet Tor a donné une conférence pour présenter la santé et le fonctionnement du projet. Avec un premier Bilan: le projet Tor est plus grand que jamais en 2015. De nombreux partenaires ont rejoint le projet comme Facebook, Reddit, ou l’IETF avec la rédaction de la RFC en .onion. Aujourd’hui utilisé mondialement le projet Tor montre notamment son intérêt en Russie avec 200 000 connexions permettant aux « résistants » d’avoir accès à l’information. De même au Bengladesh durant la censure de Facebook, Tor a été utilisé massivement pour accéder à Facebook en Clearnet (i.e. pas le site en .onion).
Tor s’est élargi et organisé actuellement avec la création des 3 équipes pour trois axes d’utilisations. Le projet a également ouvert des bureaux à Berlin. Un soutien venant de l’ONU également avec le Rapporteur Spécial de l’ONU assurant la nécessité de Tor ou de tout outil de lutte contre la censure.
Le projet a aussi évolué du côté logiciel avec des versions toujours plus avancées et de nouveaux outils comme ricochet et tor messenger. Cette année aura aussi eu quelques moments critiques avec l’Affaire Pittsburg: une université américaine a attaqué le réseau pour le FBI causant de nombreux dégâts dans le système.
Le projet Library Freedom Project (installation de relais Tor dans des bibliothèques américaines) a été menacé par des représentants du gouvernement américain. Suite à ces menaces, le conseil d’administration de la bibliothèque ciblée a décidé la mise en place de nœud de sortie (nœud permettant la connexion sur Internet d’utilisateurs de Tor), et plusieurs bibliothèques ont rejoint le projet. Ces menaces ont aussi conduit à un soutien des élus locaux pour le projet et une plus grande sensibilisation du public.

Facebooktwitterlinkedin

Chiffrement Quantique (Christian Schaffner)

The Jolly Phi

Cette conférence était une initiation à la communication quantique. Pour cela le conférencier a expliqué le principe de quantum. Les quantums existent en 4 états, ils sont transmis via photons. Dans le cas de la transmission quantique, les photons sont polarisés. Ainsi deux types de polarisation existent qui définissent deux bases + et x. Un photon polarisé selon la première base prendra la forme – ou |, et \ ou / selon la deuxième base. Un photon de type – correspondra à 0 en base +, on écrira |0>₊ et | correspondra à |1>₊ . De même on écrira / |0>ₓ et \ |1>ₓ . Le photon ne pouvant être lu qu’une fois la base sera déterminante pour la lecture faite du photon. Ainsi \ et / lu par un capteur en base + seront interprétés avec une probabilité de 50% comme 0 et 50% comme 1 (prob 1/2 yield 0 ET prob 1/2 yield 1). L’observation en tant que 0 ou 1 donnera immédiatement 0 ou 1. L’observation biaise de manière définitive la lecture.

La théorie quantique permet également de construire un PRNG en utilisant un miroir semi-réfléchissant. Un photon qui frappe le miroir pourra être réfléchi ou laisser passer. La répartition finale produit une série de valeurs aléatoires.

Continue reading →

Facebooktwitterlinkedin

Étude du fonctionnement du GFW (Philipp Winter)

Je commence une nouvelle catégorie d’articles sur le thème de la sécurité, il s’agit de revue de conférences. Ces synthèses comme le reste du site sont en CC-by. Une petite série va commencer sur le 32C3.

Le Grand Parefeu de Chine (GFW) ne fonctionne pas de manière active par filtrage en temps réel. Il analyse le protocole et en fonction de la requête répond en race concurrence. Ainsi, une requête à un serveur DNS sera adressée par le GFW avant la réponse du serveur légitime. En cas de connexion directe à l’adresse, le GFW va examiner l’adresse puis éventuellement l’hostname et en cas de blacklist va répondre à la connexion TCP via un TCP RST. Ce type de pratiques est fonctionnel pour les communications non chiffrées. Pour les communications chiffrées, le GFW utilise deux méthodes: l’analyse passive et le probing.
L’analyse passive s’appuie sur l’analyse du protocole: quel port est utilisé? Quels algorithmes? (Permet d’écarter SSH et certaines connexions tunnelées) Quelles suites de chiffrements sont utilisées? (Une suite constitue une signature propre à un navigateur ou à un outil, cependant le cyphersuite n’est pas suffisant pour déclencher un blacklist mais déclenche un probe).
Le probe consiste en l’envoi d’un paquet respectant le format d’encapsulation à tester. Dans le cas de Tor, il s’agit par exemple d’un handshake Tor.
Continue reading →

Facebooktwitterlinkedin

Yet Extent Another Tech Situation

Encore un message de l’administrateur, qui va finir par publier plus d’articles que l’auteur. Ce site est désormais en https et rejoint la fière tradition des sites sécurisés. Ainsi que bientôt tout ses sites affiliés ou liés 🙂 Un grand merci au projet Let’s Encrypt pour permettre aux particuliers d’accomplir ce rêve!
Bonne soirée à tous, moi je retourne tazer l’auteur pour qu’il écrive ou finisse d’écrire un texte!

Facebooktwitterlinkedin

Lenteur de chargement du site

Je suis au regret de signaler un problème dans le chargement du blog. Ce problème se manifeste par des lenteurs inconfortables depuis sa migration vers un nouveau CMS. La gestion du problème est en cours afin de pallier aux latences de chargement.

EDIT: Ce lag est exactement de 10 secondes pendant lesquelles aucun transit n’est observé sur l’interface du serveur hébergeant ce site (et uniquement ce site) ni aucune activité en lien dans son environnement réseau.

EDIT2: Le lag a été circoncrit au plugin « Embed Any Document » qui permettait de visualiser les documents directement dans l’article. L’administrateur du site est donc à la recherche d’un remplacement ou d’un ugly hack permettant de surmonter ce lag.

Facebooktwitterlinkedin

Conférence 2015: Crypto 101

Les slides sont disponibles à l’adresse suivante: Crypto101

[pdfviewer width= »600px » height= »400px » beta= »true/false »]https://pierre.dhuy.net/wp-content/uploads/2015/10/Crypto101.pdf[/pdfviewer]

Petite initiation à la Cryptologie pour des élèves de l’ECE-Paris. Cette conférence a été réalisé en partenariat avec l’iTeam, association du logiciel libre et de la sécurité 🙂

Et en attendant la vidéo, les exos sont à l’adresse suivante: exos!

Indice 1: Le troisième texte nécessite une attaque au mot probable et le canal saint martin est décidémment un lieu important.
Indice 2: La VIe armée galère à Stalingrad.

Facebooktwitterlinkedin

Bien choisir son mot de passe

Vous avez tous une adresse mail, un facebook ou bien un compte en banque. Le point commun entre ses trois points est l’utilisation d’un compte sécurisé par un mot de passe. Si pour les banques, le mot de passe est la plupart du temps imposé, ce n’est pas le cas de vos comptes mail et si vous tenez à en garder le contenu privé il faut choisir un mot de passe conséquent.

Pour choisir un mot de passe, il faut d’abord identifier trois facteurs: la confidentialité (à moins d’un usage assez étrange, vous n’aurez pas besoin d’un mot de passe trop complexe pour votre compte deezer), le service (sur les comptes hotmail, il existe, à l’instar des portables, une limite de saisie avant de bloquer temporairement l’accès) et la menace (Votre petite sœur se lassera sûrement après trois essais, un logiciel non). En prenant en compte, ces trois facteurs, il convient de mettre en place une échelle de sécurité. Une identification sensible (accès bancaire ou Paypal) nécessitera un mot de passe complexe tandis q’un accès physique à votre ordinateur ne nécessitera jamais qu’un peu d’originalité, une simple recherche dans le dictionnaire avec un peu d’originalité est suffisante. Qui a déjà vu « Uniate sarcastiquE » comme mot de passe?

Une fois cette approche achevée, la construction d’un mot de passe fiable peut commencer. Il est inutile de se faire d’illusion, un mot de passe fiable est composé de majuscules, minuscules, nombres et symboles de préférence dans un ordre chaotique. Il s’agit alors d’en créer facile à mémoriser pour vous mais difficile à première vue.Pour cela prenez une phrase quelconque (réplique de film ou issue d’un texte) que vous retiendrez, puis sélectionnez la première ou la dernière lettre de chaque mot et transposez là de manière à former un mot de passe. Ainsi la célèbre phrase « Quand on attaque l’Empire, l’Empire contre-attaque! », peut donner « Qoal’E,c-a! » ou « DoelEx2e-e! » le x2 remplaçant évidemment le doublon.

Ces mots de passe présentent un niveau de protection optimale sauf à vouloir protéger face à des menaces étatiques ou mafieuses. L’usage de caractères accentués, spéciaux ou propres à certaines langues est recommandé mais peut-être dérangeant si vous devez le saisir sur internet ou sur un clavier étranger. Il ne faut JAMAIS noter ce mot de passe sur un post-it ou autre papier à porté du bureau. Dans certains bâtiments administratifs, j’ai pu découvrir le mot de passe de chaque machine noté sous le clavier … (on me souffle dans l’oreillette que ça se trouve aussi dans le privé.)

Un contre-exemple à la rédaction d’un mot de passe avec majuscules/minuscules/nombre est l’usage fréquent du modèle Prénom1999 ou tout dérivé similaire. Outre le fait qu’une attaque ciblée contre vous portera certainement sur ce type de valeur (et ne vous croyez pas plus malin d’avoir choisi Nom12/05), ce type de combinaison est aussi facillement trouvable avec certaines attaques par brute-force.

Si vous voulez un mot de passe à la fois simple à retenir et difficile à trouver, vous pouvez tenter de ne saisir qu’un seul caractère spécial (&@*\$çé…) ce qui en cas de test a peu de chance d’être tenté mais qui se révèle gênant quand quelqu’un regarde par dessus votre épaule ! Et surtout ce mot de passe ne résistera pas à une recherche poussée ou à une bonne politique de mot de passe du site.

Pour les mots de passe simple, il est préférable d’éviter les grands classique comme password, motdepasse, azerty, qwerty, 123456 sans parler des dates de naissance ou les noms des frères et sœurs ! L’attaquant essayera ces mots de passe en premier lieu.

Enfin si l’interface contrôlée par ce mot de passe autorise de nombreux caractères (plus de 12), une série de mots aléatoires représente une bonne solution. On appelle ça une passphrase.

 

En résumé, un bon mot de passe:

  • Doit être proportionné à la menace
  • Doit faire plus de 8 caractères contenir des nombres, majuscules, minuscules (et si possible signes de ponctuation) si l’interface est accessible à l’extérieur
  • Ne jamais être mis par écrit
  • Ne pas être trivial

Faites un geste, pensez aux gens qui essayeront de vous « piratez » votre compte, ne rendez pas ça trop facile! Merci.

Facebooktwitterlinkedin