SSL/TLS à La Cantine

J’ai assisté le  20 septembre 2013 de 19h00 à 23h00 avec une cinquantaine de personnes à la conférence donnée par Benjamin Sonntag (@vincib).

Je vous en relate l’ambiance ci-dessous :

J’arrive à18H45, un peu stressé et affamé. Je ne connais pas l’endroit et suis un peu intimidé par les pointures que je vais croiser.

Vu que je suis l’un des seuls en costard, les gus doivent penser que je suis de la NSA ou du service d’ordre. L’assemblée est en effet largement bigarrée, de 18 à 78 ans et rafraichie à la bière. Je n’ose pas aller au comptoir en commander une, de peur de perdre ma place privilégiée plein axe au troisième rang. On est loin de l’ambiance feutrée proutprout du salon « DSI  de l’année ». Ici, c’est cool attitude et coupe de cheveux hors standard. Les auditeurs arborent majoritairement le look hacktiviste assorti de l’ordinateur portable recouvert de stickers à l’effigie des grands rendez-vous du hacking. A côté d’eux, le moindre startuper de la Silicon Valley ferait BCBG coincé !

Je reconnais dans l’assemblée quelques visages révélés par Twitter.  Je remarque qu’il y a même quelques sujets féminins, un spectateur dont l’allure est quelque part entre clodo, Richard Stallman et Léo Ferré, un sosie du frère du père noël, quelques tronches de vieux hippies, une poignée d’étudiants en école d’informatique qui ont dû arrêter toute activité sportive en CE2, un couple de cinquantenaires visiblement égaré, quelques consultants encostumés, un extra-terrestre iroquois … et Benjamin Sonntag. On reconnait dans le regard de chacun d’eux la petite lueur de la passion.  On ne vient pas un vendredi soir après le boulot à la Cantine comme on va assister au dernier Workshop Microsoft Winbouse2013 ou au talk branché  Apple merde-I-5f pour se la couler douce une demi-journée.

Affairé à ses derniers préparatifs, Benjamin est serein et déterminé. On devine la maitrise du sujet à peine perturbée par les couacs du tcpDump.

Après avoir salué l’assistance, il nous embarque pour près de trois heures dans l’univers de TLS, des certificats et autorités de certification, des courbes elliptiques et de Diffie-Hellman… mais aussi dans le monde de la sécurité au sens large et du respect de la vie privée. Quelques centaines de minutes de discours posé, précis, argumenté, illustré d’exemples, de démos et d’anecdotes. Ca s’écoute comme une belle histoire… J’aurais pu venir avec ma mère. Ressurgissent régulièrement les références à son quotidien et ses activités au sein de La Quadrature de Net. Transparait le côté humaniste du personnage.

Dans l’assistance ça ne bronche pas, le bagage technique moyen étant élevé, on va pouvoir aborder une bonne partie de la technicité du problème sans lassitude. Je ne résumerai pas le contenu formel de la présentation, dont on retrouvera bientôt l’intégralité ici sur le web, de peur de le dénaturer et de ne pas en reproduire l’exhaustivité.

Reprenant Bruce Schneier et Snowden (Prix Nobel de la paix 2025 ?), Benjamin insiste largement sur le fait que la crypto nous apporte le niveau de sécurité et de confidentialité que l’on se doit d’attendre d’elle. Le chiffrement, malgré la fragilité du modèle de confiance fourni par les autorités de certification commerciales et les difficultés de protéger les sacro-saintes clefs privées est sûr ;  Même s’il est techniquement possible de casser du RSA 1024 pour quelques millions de dollars, le maillon faible est bien ailleurs … à la fois dans la faiblesse, l’inconsistance, et les motivations inavouables toutes malheureusement humaines. Ce sont celles-ci qui font qu’il existe aujourd’hui des implémentations de protocoles sécurisés pourries utilisant des algorithmes cassés ou conçus avec des portes dérobées ou pire, car de manière généralisée, fonctionnant sur des plateformes matérielles pour le moins dangereusement hermétiques.

Alors, pour se protéger, comment faire ?

Ne pas avoir une confiance aveugle envers les marchands de solutions de sécurité qui vous vantent/vendent leur « cryptage » propriétaire inviolable.  Faire confiance, avec un œil critique, à la crypto dont le code source est ouvert et auditable.  Comprendre les mécanismes mis en œuvre afin de vérifier que votre entreprise ne vous offre aussi gentiment que secrètement un joli certificat de chez Bluecoat qui lui permet de déchiffrer tous vos échange HTTPS. Etre en mesure d’expliquer à tout un chacun les objectifs de la sécurisation des échanges dans le  respect de la vie privée afin de ne pas tomber, sans s’en rendre compte dans le piège des Google, Paypal et consorts ou de se faire pirater ses comptes par le premier script kiddy en omettant le « s » de HTTPS.

@LauMarot

Toute la conf est disponible en vidéo et les diapositives du support sont téléchargeables ici. Du vraiment bon boulot !

Crypto History : caesar, vigenere, enigma

What is a Cipher ?

One time pad

=> perfect secrecy

=> need of Stream Cipher

Shannon Theorem (1949)

Pseudo Random Generator (seed -> function ->key)

=> is really secure ?

=> what is negligble ?

Do not use :  random() glibc !

Si vous pensiez trouver une réponse en trois lignes et 173 caractères à cette grande question, c’est raté.

J’ai lu a peu près tous les papiers du web sur le sujet du plus fantaisiste/sensationnaliste au plus fouillé/technique et j’en ressors avec assez peu de certitudes.

Une chose est néanmoins sûre, il y a peu de chance que Madame Michue se retrouve fliquée par la NSA et les Chinois.

Elle peut continuer de poster peinarde ses photos de vacances sur Facebook et se connecter à son webmail en http depuis le wifi de son hôtel. A part quelques pervers technophiles dont je fais partie, personne ne s’intéressera à sa séance de shooting à la plage et à ses échanges par courrier électronique dont le contenu sms-stylisé est plus proche du grognement préhistorique que du développement thèse/antithèse.

Ce n’est pas non plus la NSA qui ira débiter son CCP suite à la découverte de son numéro de CB, qu’elle a transmis par téléphone, griffoné sur un post-it à la réception de l’hôtel.

Je vous laisse donc vous faire une idée à partir de mes sources :

• The NSA Is Breaking Most Encryption on the Internet

Par Bruce Schneier le 5 septembre

• N.S.A. Able to Foil Basic Safeguards of Privacy on Web

Par Nicole Perlroth, Jeff Larson and Scott Shane Publié le 5 Septembre 2013

• NSA’s (and GCHQ) Decryption Capabilities: Truth and Lies

Par Axelle Apvrille  le 6  Septembre 2013

• Opening Discussion: Speculation on « BULLRUN« 

John Gilmore Fri, 06 Sep 2013 17:49:35 -0700

• La NSA a-t-elle cassé oui ou non le chiffrement ?

Par Larry Seltzer, ZDNet.com | Lundi 09 Septembre 2013

• Keith Alexander : The Cowboy of the NSA

Extrait de Foreign Policy Magazine par Shane Harris le 9 septembre 2013

• Malgré les efforts de la NSA, le chiffrement reste sûr pour protéger les données

Article de Jacques Cheminat dans Le Monde Informatique

Je vous laisse aussi envisager quelques conséquences et apprécier quelques effets collatéraux

• Pourquoi l’affaire Snowden relance les chances du Rafale de Dassault au Brésil

Publié le 11-09-2013 à 15h29 par Vincent Lamigeon

• Industry backlash agains tsurveillance jeopardizes cybersecurity

By Aliya SternsteinSeptember 5, 2013

• How The Guardian is Quietly and Repeatedly Spying on You

By Bob Cesca · September 09,2013  Print Friendly

• Government Announces Steps to Restore Confidence on Encryption Standards

Par Nicole Perlroth Publié le 10 Septembre 2013

Un grand moment de franche rigolade…

J’ai encore plus ri qu’avec l’histoire de la vraie fausse intervention en Syrie …

Petit rappel de la situation : depuis 15 jours internet bloblotte chez les voisins (avec un petit « v » pour ne pas les confondre avec les « Voisin ») … d’autant plus quand la ligne est par-terre. Du coup, ils demandent une intervention à Orange.

Orange sous-traite celle-ci à LSB pour le mardi 3 septembre. Comme tout le monde bosse en ce mardi, un gros placard a été placé sur la porte d’entrée pour prévenir le techos de me solliciter, vu que je suis la seule âme qui vive du village.

Vers 10h30, j’entends une voiture qui s’éloigne … Mince, ça devait être Orange. Le gazier s’est bien abstenu de venir m’avertir. Je pique donc un sprint pour le rattraper dans les dédales de Lostihuel. Heureusement, Patrick (le cousin de mon pote de chez Saint Maclou) s’est garé devant le Clos de Lostihuel. Non pour y faire une réservation mais pour rendre compte par téléphone de son intervention au titulaire de la ligne.

Je chope le zozo et lui demande ce qu’il en est et pourquoi il ne m’ a pas sollicité. Il me bredouille que tout va bien, qu’il a testé la liste de l’extérieur et que pour lui tout est ok. Bref, il se sauvait comme un voleur l’enf…

Il m’avouera par la suite que ce genre d’intervention est généralement une galère car les informations transmises par le 3900 sont inutiles / incompréhensibles par l’intervenant. Donc, il passe et s’il n’y a personne il déroule sa proc de test et basta.

Je l’enjoins malgré tout à jeter un œil sur la box. Nous entrons, donc, et découvrons que la box clignote @ orange. Mince … pas de synchro ADSL. Le m’sieur sort son appareil de test, fait un peu de ménage dans les filtres et les câbles, ajoute un condensateur dans la prise et rend son verdict :  2 428 ko/s en débit descendant. Donc, tout est clair … Il semble qu’il n’y ait donc qu’on problème de configuration du compte client sur la LiveBox.

Depuis son mobile, il appelle alors son contact assistance orange pour avoir les identifiants fti/ pour reconfigurer la LiveBox. Il se fait jeter une première fois et réussit à choper un interlocuteur qui lui fournit les identifiant et mot de passe qu’il griffonne sur un bout de papier.

Il sort alors son notebook qu’il connecte avec câble sur la box. Première tentative de connexion via IE sur http://192.168.1.1

Pas moyen d’avoir l’appli de config de la box.

Mon grand-débutant réseau tente alors un audacieux http://livebox qui n’aboutit pas et le laisse perplexe … Dernière cartouche, il tente d’appeler un ami, mais n’arrive pas à le joindre.

Je lui demande donc de me laisser le clavier, et je lui montre via ipconfig qu’il ne récupère pas d’IP alors que son poste est bien en DHCP. Je soupçonne un problème sur la box mais devant la susceptibilité de ces sales bêtes et l’esprit joueur des notebooks sous Windows je reboote les deux.

Pas mieux … je tente alors une conf en dur de l’ip/mask/gw sur 192.168.1.10/255.255.255.0/192.168.1.1

Toujours pas mieux…

J’imagine déjà le pire : il semble évident que la box à un gros problème. Heureusement, mon gus me fait un minimum confiance et file à sa camionnette chercher une LiveBox neuve.

5 mn après, c’est branché et configuré.

Je peux retourner bosser. C’est Théo qui va être content en rentrant de l’école.

Corruption DNS avérée pour nytimes.com. Tentative contre Twitter ?

Les hackers de SEA (Syrian Electronic Army) se distinguent avant de se planquer sous les claviers demain. Et là ça va pas être du cyber …

Le NY Times hacké

Les détails de l’opérations : http://www.scmagazine.com/hacker-group-takes-responsiblity-for-dns-attack-on-major-media-sites/article/309132/

ou le début d’analyse de S. Bortzmeyer avant qu’il ne parte à la plage : http://www.bortzmeyer.org/attaques-sea.html

Analyse ou plage ?

ou encore l’histoire racontée par le LA Times http://www.latimes.com/business/technology/la-fi-tn-melbourne-it-discovers-breach-that-took-down-nytimescom-20130827,0,7651273.story et les commentaires de CNN, 10 heures après le début de l’incident : http://edition.cnn.com/2013/08/27/tech/web/new-york-times-website-attack/index.html

Pout tout comprendre : un très bon article de cloudflare (qui s’offre ainsi un bon coup de pub) sur la corruption des DNS et l’entretien de PCInpact avec Stéphane Bortzmeyer, architecte systèmes et réseaux à l’AFNIC sur les attaques par détournement de DNS. 

 A 22h15, le site du New York Times est à nouveau accessible depuis Lostihuel via les DNS Orange.

Et Verisign, gestionnaire du .com nous explique comment réduire la menace de détournement de domaine.

27 août 2013 à 10h30 : Pour Challenges, c’est clair  ! Alors que Damas promet des surprises en cas d’aggression.

L’Etat-Major dément mais déjà en France la guéguerre MN/Ada est en marche.

Du côté US, malgré une opinion publique défavorable, le secrétaire d’Etat à la défense Chuck Hagel (qui a téléphoné à Jean-Yves Le Drian ce matin) confirme qu’ils sont prêts :  U.S. forces ready to strike Syria if ordered.

15h 30 Laurence Haïm annonce qu’à Washington des rumeurs annoncent que  « les frappes de missiles pourraient commencer dès ce Jeudoi et durer 3 jours« .

Quoi qu’il arrive sans MdCN la France sera encore une fois un peu à poil … et les premières frappes aériennes ne seront pas sans risque.

16h10 : NBC confirme. Sortez les parepluies, il va pleuvoir du TLAM (Tomahawk Land Attack Missile) BGM-109A Tomahawk  !

Missile strikes against Syria could be launched “as early as Thursday,” senior U.S. officials said Tuesday as the White House intensified its push toward an international response to the suspected use of chemical weapons.

The “three days” of strikes would be limited in scope, and aimed at sending a message to Syria’s President Bashar Assad rather than degrading his military capabilities, U.S. officials told NBC News.

Pendant ce temps là, la Ligue arabe réunie au Caire condamne les cimes haineux de la Syrie et l’usage de gaz toxique. A noter que le Liban, l’Algérie et l’Irak se désolidarisent partiellement.

Et les experts UK sont plus que dubitatifs : Don’t start what you can’t finish !

17h00 : en tout cas, via son site Michel Goya n’affiche pas non plus la plus grande sérénité par rapport à une éventuelle intervention  : objectifs flous, opinions publiques échaudées, plans d’actions multiples mais risqués … Conclusion sans équivoque :

S’engager militairement en Syrie, c’est s’engager dans un conflit aussi complexe et mouvant que celui du Liban à partir de 1975. Cela ne signifie pas qu’il faille y renoncer mais qu’il faut bien comprendre que le faire avec timidité, c’est s’assurer à terme de subir de sévères humiliations.

17h30 En france, F. Hollande répète que « le massacre de Damas ne peut rester sans réponse » et qu’il réunira un Conseil de défense le 29/08

Alors que selon al Jazeera la Russie évacue son personnel et ses ressortissants de Syrie.

28 août 15h00 : Pas grand chose de neuf. En France c’est l’habituelle chamaillerie entre les « Va-t-en guerre » et les « Bisounours ». Les grands professionnels spécialistes de l’expertise confirment  ques des armes chimiques ont bien été utilisées. Ca nous rassure on croyait qu’on les avait retrouvés morts la bave aux lèvres suite au visionage des dernières frasques de Nabila dans les Anges de la téléréalité. Reste à savoir lequel des camps les a utilisé sanchant qu’ils son à peu près aussi givrés les uns que les autres.

En tout état de cause, le président de la république convoque le Parlement le 4 septembre pour « trouver la riposte appropriée« .

Un très bon papier sur le sujet par Raillane : http://aboudjaffar.blog.lemonde.fr/2013/08/28/que-ferait-brian-boitano/

Les britons regrettent un peu plus leurs coupes budgétaires : http://www.thinkdefence.co.uk/2013/08/type-45-destroyer-time-fit-strike-launchers/ qui font qu’ils sont à peu près dans la même situation que nous.

L’Europe est aussi unie que d’habitude puisque les italiens et norvégiens assurent qu’ils ne feront rien sans mandat de l’ONU.

17h30 : Les forces armées turques ont été placées en état d’alerte et prendront toutes les mesures nécessaires pour protéger les intérêts nationaux face à toute menace venant de Syrie, a annoncé aujourd’hui le chef de la diplomatie d’Ankara, Ahmet Davutoglu.

20h30 : Londres indique qu’il n’y aura pas d’action militaire avant les résultats du rapport de l’ONU

23h00 : impasse au Conseil de sécurité de l’ONU. Les membres permanents du Conseil de sécurité ne sont pas parvenus à s’accorder sur une résolution britannique justifiant une action armée en Syrie. Les ambassadeurs russe et chinois ont quitté la salle où se tenaient ces consultations à huis clos au bout d’une heure et quart.

29 août 2013 : Obama a annoncé dans la nuit (heure française)  qu’il n’avait pas pris sa décision et la France fait appareiller le Chevalier Paul.

Initialement annoncé pour ce jour, le début des opérations  militaire pourrait profiter d’une  « fenêtre de tir »  entre le 2 et le 4 septembre avant que ne débute le sommet du G20 à Saint-Pétersbourg. 

La Russie envoie deux bâtiments croiser au large de la Syrie dont le croiseur lance missiles Moskva. Belle revue navale en perspective.

C’est calme non ? Nos dirigeants tergiversent, temporisent … et si finalement il ne passait rien. Il s’est quand même bien fait gronder Bachar… On va peut être se limiter à une cyberguéguerre et faire tomber le site de la Syrian Electronic Army. @AbouDjaffar fulmine : »Après tant de déclarations guerrières et de fuites organisées dans la presse, si rien ne se passe… #Bouffons #Syrie #Petitsbras« 

23h30 : Cameron loses war vote in British Parliament. Les britanniques ne seront les caniches personnes sur ce coup là car le Parlement ne veut pas d’une intervention militaire et vote contre le projet de Cameron.

30 août 2013

C’est toujours pareil, si on le faisait plus souvent ça irait tout seul … Pourtant, techniquement rien de bien compliqué mais on se sait jamais ce qu’il peut se passer.

Donc étape 1 (la plus longue, pénible, … inutile quand toute se passe bien) : SAUVEGARDE

Et déjà c’est la galère : zut, j’ai perdu mon mot de passe FTP pour récupérer en local les sources et éléments publiés. Mince, idem pour celui de mon manger OVH qui me fournira le lien ver le phpMyAdmin pour récupérer un dump de ma base de données et même chose pour le mot de passe de phpMyAdmin 🙁

Une fois que c’est fait, on peut s’atteler au chantier véritable.

Etape 2 : CHANGEMENT DE VERSION PHP car la version cible de WordPress (3.6) n’aime pas PhP 4.4.9

Deux questions : « je choisis quelle version de php (au moins 5.2.4, finalement ce sera 5.4), je fais comment pour changer quand je suis en mutu ? »

Il suffit d’éditer le fichier .htaccess situé à la racine du site et de mettre à jour la ligne relative à la version de PhP : SetEnv PHP_VER 5.4

Mise à jour WordPress

Etape 3 : APPLICATION DE LA MISE A JOUR. Vous pouvez prier et/ou serrer les fesses car assez régulièrement ça ne sa passe pas bien. Ce qui explique la grande reluctance à migrer.

Mais au fait : » Pourquoi tu migres ? »

• WP 3.1.3. Suis une bonne cible pour le hackers, non ? => la mise est à jour doit principalement permettre d’intégrer les correctifs de sécurité et les correction de bugs.
• un plugin a été mis à jour est n’est plus compatible avec ma version obsolète de WordPress. Dommage c’est WP Lightbox (celui qui permet d’afficher les images entaille réelle quand on clique sur une miniature)
• de nouvelles fonctionnalités sont disponibles => j’ai plutôt tendance à croire que je n’ai rien besoin de plus.

Allez-y j’ai des tests à faire !

Prism, jouet de la NSA

La naïveté navrante de l’internaute moyen qui s’offusque ce matin des pratiques indélicates des grands de l’IT et de l’administration me sidère.

Donc, petite piqure de rappel :

1. si c’est gratuit c’est que tu es le produit,
2. si tu veux de la confidentialité dans ta correspondance, chiffre tes mails,
3. ne t’expose pas : si on veut de vendre de la m… c’est que tu as vraisemblablement raconté quelque part que tu aimais la m…,
4. tout ce que tu mets sur support numerique ne t’appartient déjà plus : ta dernière sextape est sur le web ? fallait la faire en super8,
5. au boulot c’est encore pire : l’admin SYS voit bien que tu as 3 To de mp4 sur ton lecteur Z$, l’admin MAIL se rend compte que tu es le destinataire de 50 % en volume des spams et le Network Team voit sur de belles courbes que  ton poste bouffe 25 % de la bande passante et que tu te connectes 17 fois par jour sur ton compte meetic 🙂

SafeNet Luna SA 1U

Bonne introduction à la présentation des HSM Luna SA : http://geekcredential.wordpress.com/2012/07/02/luna-sa-hsm-concepts/comment-page-1/#comment-131

Fête de la musique dans le 44

Mince, j’ai loupé DJ Mosey au festiZad, le dernier apéro Facebouse à Notre Dame de la Glande … parait qu’il y avait un max de pervers pour pister les p’tites fugueuses 🙂