Données privées ; ils veulent un accès illimité

Données privées ; ils veulent un accès illimité

Données privées et big-data
Données privées et big-data
J’ai assisté il y a quelques jours à une intervention sur le Big-data présentée par Arnaud Laroche Co-fondateur de Bluestone, société spécialisée dans l’analyse des données.

La présentation était intéressante, mais ne m’a rien appris de nouveau, bien au contraire, elle a confirmé ce que nous savons tous ! Les millions de données privées collectées via réseaux internet ou autre sont une manne d’information infinie et réutilisable indéfiniment !
Ces données privées sont utilisées pour alimenter des modèles statistiques afin d’élaborer des profils de plus en plus précis et ainsi mieux cibler des clients dont la corrélation vis-à-vis d’un produit est très forte.

Les assureurs, les banques, les commerces, les transports, les vendeurs de chat, tous veulent aujourd’hui « valoriser » leurs données afin de proposer et individualiser leurs offres, car mieux cibler c’est plus rentable et plus performant au mépris de la vie privées.

Par exemple, comme écrit dans un précédent billet sur la collecte des données privées dans les ordinateurs de bords des voitures, il est désormais possible d’individualiser le prix d’une assurance en analysant ces données. Par exemple s’il est démontré que vous avez une conduite trop dynamique, et que vous freinez trop souvent et trop brusquement ou vous ne respectez pas les limitations de vitesse, vous êtes un individu à haut risque d’accident et donc vous payerez l’assurance bien plus chère même si vous n’avez jamais eu d’accident auparavant.

Mais à mon avis, le pire est à venir avec tous les objets connectés et surtout ceux liés à la santé. Dans un futur proche, il est probable de payer deux fois plus chère votre mutuelle selon l’état de santé de vos parents, par exemple si l’un ou les deux souffrent d’une maladie cardiaque, vous êtes potentiellement un individu à haut risque cardiaque, et votre mutuelle vous fera payer ce risque, car les modèles prédictifs démontrent cela. Pire les mutuelles peuvent mettre en place des closes particulières les exonérant de prise en charge en cas de telle ou telle maladie prédite par leur modèle.

Le risque est donc de voir un jour les décisionnaires déléguer leurs pouvoirs à des modèles mathématiques surpuissants afin de prendre des décisions logiques et pragmatiques mais complètement déshumanisées. Et l’argument politique des prochaines années risque d’être « Je ne voulais pas prendre cette décision, mais les modèle démontrent que c’est la meilleur chose à faire, donc je n’ai pas le choix ». Une politique qui s’appuierait sur les machines pour diriger des hommes, la science-fiction n’est plus ! vive la data-science.

Faire tomber les barrières qui protègent nos données privées

Mais en vérité ce qui m’a fait le plus froid dans le dos lors de cette présentation c’est l’avis personnel de l’intervenant sur les données privées et/ou personnelles et la vie privées ; « C’est mon avis personnel, mais les barrières pour la protection des données privées et/ou personnelles doivent sauter, car un jour ou l’autre elles sauteront, elles ne pourront pas résister à l’avancé des technologies et de la société » Ce n’est pas mot pour mot ce qu’il a dit, mais le sens général y est.

Cette déclaration m’a fait bondir de mon siège et m’a données des sœurs froides, car elle reflète non pas seulement la vision personnel de l’orateur mais la vision de tous les responsables des boites spécialisé dans l’analyses des données et qui veulent avoir accès en illimité à la moindre données privée et donc notre intimité !
Ils veulent nous mettre dans des maisons de verre, là où chaque mouvement, chaque action serait décortiqué, analysé, étudié, interprété puis vendu au plus offrant pour notre soit disant bien être, mais c’est surtout pour renflouer les poches des quelques individus qui n’ont aucun respect pour la vie privée.

Donc, oui les données privées d’aujourd’hui sont bien le pétrole de demain.

Virus sur Linux : il y en a ou pas ?

Virus sur Linux : il y en a ou pas ?

Virus sur Linux
Virus sur Linux

Est-ce qu’il y a des virus sur Linux ?

Ce billet vient après un petit échange dans la mailingliste de root66, association qui fait la promotion des logiciels libres dans les Yvelines.
Je ne vais pas vous relater toute la discussion en grosso-modo dans l’un des slide d’une future présentation sur les avantages et le choix des logiciels libres par rapport aux logiciels propriétaires, il est noté “Il n’y a pas de problèmes de virus sur Linux” ou quelques chose comme ça.

Il faut dire que je ne suis pas accord avec cette confirmation, car de mon côté j’aurais mis « Les problèmes de virus sur linux sont très rares, voir exceptionnels »
Ce qui à mon sens est plus proche de la réalité, que de dire qu’il n’y a pas de virus sur Linux ou dans les logiciels libre en général.

Même si nous sommes tous d’accord sur le fait qu’un OS libre comme Linux nous protège des scripts malveillants et nocifs, ceci est un acquis incontestable, à l’heure actuelle en tous cas.
Car la forte séparation entre un utilisateur normal et l’utilisateur Root, permet d’éviter beaucoup de problèmes, le virus n’ayant pas les droits d’administrateur, il se contenterait du répertoire /home tous au plus, et sa propagation devient donc très limitée, ce qui n’est pas toujours le cas sur Microsoft pas exemple.

Pour quoi je ne suis pas d’accord avec cette phrase.

Deux raisons à cela

Raison 1

Que veut dire « il n’existe pas », est cela parle du temps présent ? si c’est la cas, alors oui je suis Ok, nous sommes le 28 janvier, et aujourd’hui il y a pas de virus sur Linux, à notre connaissance, car il se peut qu’il y en a, à notre insu, ce que j’avoue est peu probable mais loin d’être de la science-fiction, car contrairement à une croyance propagée dans le milieu des logiciels libres GNU/Linux n’est pas immunisé, d’ailleurs aucun système ne l’est.

En plus de cela il y a déjà eu des problèmes de virus sur Linux, même si elles remontent à quelques années, mais n’empêche que cela à existait et donc cela peut se reproduire à tous moment.

C’est certainement mon côté scientifique qui remonte à la surface, car pour moi un système immunisé à 100% cela n’existe pas, car le risque zéro n’existe pas.

Raison 2

Mais ce qui est le plus gênant dans cette affirmation, c’est que nous délivrons avec un permis à tous faire « Fait toutes les conneries que tu veux, de toutes façons tu ne risques rien, il y a pas de virus sur Linux », et nous laissons croire que le fait d’être sur une distribution GNU/Linux immunise contre les logiciels ou script malveillant quel que soit la situation.
Et de ce fait, cela encourage les utilisateurs à ne plus être vigilant, et a baissé sa garde, ce qui peut être préjudiciable pour lui et pour les autres.
L’utilisateur prend de mauvaises habitudes, des habitudes qui seront difficile par la suite à rattrapées.

Cela reste mon avis, et bien sur tout le monde n’est pas sur la même longueur d’onde, heureusement d’ailleurs, car seul le débat et la discussion permettent de faire avancer les choses d’un côté ou de l’autre.

Snoopsnitch, l’application Android qui détecte les attaques

Snoopsnitch, l’application Android qui détecte les attaques

Snoopsnitch
Snoopsnitch
Snoopsnitch est une nouvelle application sous Android qui permet de détecter différentes attaques sur les mobiles en analysants les données de votre portable.

Elle est bien sur open-source et fut présentée par Karsten Nohl lors du 31ème Chaos Communication Congress à Hambourg.
Il détecte les attaques suivantes :

  • IMSI-catchers : ou fausse station téléphone, votre appareil peut se connecter un appareil qui simule une station téléphonique, cette fausse station a pour but les écoute téléphonique et l’interception des SMS
  • User tracking : traque de l’utilisateur via les réseaux GSM
  • over-the-air updates : Mise à jour de l’OTA, qui est une technologie qui permet la mise à jour de la carte SIM à distance, les opérateurs peuvent l’utiliser si ils veulent par exemple ajouter de nouveaux services, mais elle peut être aussi utilisé pour des attaques.
  • Silent SMS ou SMS silencieu : appelé aussi SMS furtif, utiliser pour délocaliser une personne et suivre ses déplacements. Ils ne s’affichent pas à l’écran et n’émettent pas de signal sonore lors de la réception.

Il est uniquement compatible avec les terminaux sur Android 4.1 avec les droit root et un chipset Qualcomm.

Vous pouvez télécharger Snoopsnitch sur Google Play, et il sera certainement prochainement sur F-Droid.

Si vous ne voulez pas passer par Google, vous pouvez télécharger directement l’application sur le site officiel
https://opensource.srlabs.de/projects/snoopsnitch
PGP fingerprint: 9728 A7F9 D457 1FBB 746F 5381 D52C AC10 634A 9561

Screenshot Snoopsnitch
Screenshot Snoopsnitch

L’application fait remonté vos données collectées lors du test, pour crée une carte qui montre l’état de sécurité de votre zone géographique.

L’application ne fonctionne pas forcement avec tous les terminaux

  • Tous les appareils sans chipset Qualcomm
  • Tous les appareils sans rom stock
  • Les Samsung Galaxy S2 & S3
  • Les Nexus 5
  • Les Huawei Ascend Y300

Même si le contraire est indiqué par le site officiel, Snoopsnitch fonctionne très bien sous Cyanogene 11, pour les autres ROM je ne sais pas.

Chiffrer son smartphone – Retour d’expérience.

Chiffrer son smartphone – Retour d’expérience.

Nous connaissons tous aujourd’hui l’importance de la protection de ses données personnelles et de sa vie privée.
L’une des solutions privilégiée et recommandées et de chiffrer ses communications et ses données pour éviter leurs interceptions par un tiers.

Et chiffrer son smartphone n’échappe pas à cette règle, et dans cet article je fais un retour d’expérience sur ce chiffrement globale via l’application native de CyanogenMod 11 (Android 4.4).

chiffrer son smartphone
Chiffrez votre smartphone

chiffrer son smartphone

Je voulais chiffrer mon téléphone à la sortie d’Android 4.4 qui intègre cette fonctionnalité nativement, mais j’ai pris la décision de franchir le pas suite à la chute de mon ancien smartphone, dont l’écran était mort, mais le système fonctionnait correctement.

Le fait de le confier à un réparateur et de savoir que mes données, que je protège, se trouvent chez une personne que je ne connais pas, me faisait froid dans le dos. J’avais donc décidé de faire la réparation tous seul, mais jusqu’à l’heure actuelle, ce téléphone est au fin fond d’un tiroir en attendant des jours meilleur.

Bref, j’ai donc décidé de chiffrer mon nouveau smartphone fraîchement déballé et passé sous CyanogenMod, car je vomis les surcouches constructrices qui dénaturent l’expérience utilisateur à mon gout.
Le chiffrement se fait sans problème, il faut juste suivre les directives données par l’application. 20 minutes plus tard, c’est fait ! Mon téléphone fonctionne correctement, dans un premier temps en tous cas.

Première mauvaise surprise, toutes mes données ont disparues O_o, le téléphone fut réinitialisé sans que je le sache, alors que normalement il ne doit pas l’être. Bah bon, ce n’est pas grave, mes données sont généralement sauvegarder régulièrement.
Ensuite, au bout de quelques temps d’utilisation, j’ai rencontré quelques problèmes, et dont certains très gênants.

Un redémarrage laborieux

Il vaut mieux ne pas être à court de batterie, car le redémarrage est laborieux, il ne suffit pas de mettre l’appareil sous tension pour qu’il fonctionne, il faut un minimum de charge pour que le système démarre et parfois au bout de plusieurs tentative infructueuse.
Donc si vous devez passer un appel urgent armez-vous de patience !

Dysfonctionnement de Firewall

Firewall pour mobil
Firewall pour mobil
J’ai remarqué aussi, que plusieurs applications ne fonctionnaient pas, ce n’est pas gênant pour la majorité d’entre elles, car ce sont des jeux ou des applis systèmes que j’ai pu facilement remplacer.
Le plus gênant, fut la dysfonctionnement des applis type firewall comme AFWall+ ou DroidWall, qui empêchent l’accès au réseau aux autres applications dont certains sont très intrusives, elles utilisent le réseau pour envoyer une multitude d’informations sur vos activités et vos données comme ; votre géolocalisation, vos contacts, l’identifiant de votre téléphone (IME), les applications installées etc.. etc..

Malgré des heures a tenté de régler ce problème, les filtres mis en place sur le firewall ne fonctionnaient pas. De ce fait, deux choix s’offraient à moi, garder mon téléphone chiffré et accepter le fait que des données confidentiels soit utilisées, ou revenir sur le chiffrement, et de savoir qu’en cas de perte, de vol ou de réparation, mes données seront sans protection.

Je vous avoue que le choix était difficile, et j’ai donc pris la décision de revenir sur le chiffrement, et préférer la protection de ma vie privée au quotidien sur un hypothétique vol ou casse de mon portable.

Ce retour d’expérience n’est qu’un “retour d’expérience” sur un smartphone donné, avec une ROM donnée et des applications données. Il ne faut en aucun cas le prendre pour une généralité et un avis définitif. Et je ne veux pas encouragé le fait de ne pas chiffrer son smartphone.
Ce que je veux démontrer, c’est qu’il faut adapter sont niveaux de protection selon son modèle de menace, et quand les outils convergent vers le même but mais sont incompatibles entre eux, un choix est nécessaire pour garder celui qui convient le mieux à notre utilisation du smartphone et aux données qui y sont présents.

Comment la NSA peut « allumer » votre smartphone à distance ?

Comment la NSA peut « allumer » votre smartphone à distance ?

Téléphone hacké
Téléphone hacké

Depuis les révélations d’Edward Snowden, sur la capacité du gouvernement américain d’utiliser les smartphones comme système d’espionnage, même si ces derniers sont éteints, beaucoup se demande comment cette prouesse technologique est-elle possible ?

Selon le livre de Glenn Greenwald “Nulle part où se cacher” (édition JCLattes), cette méthode d’espionnage existait bien avant les smartphones, et fut utilisée en 2005 par le gouvernement américain pour espionner la Mafia.

CNN.com (Source à prendre avec des pincettes, tellement elle est un pro gouvernement américain) déclare que lors de la mise hors tension du téléphone en appuyant sur le bouton « off », celui-ci vibre et simule une mise en hors tension (Fake shutdown) avec « l’animation de l’écran » qui vas avec. En vérité le système se met à ce qui ressemble à « une veille » ou seul le micro et la caméra restent en fonction.

L’activation de cette fonction se fait via des antennes GSM accessibles aux gouvernements US, qui envoient un message sous forme d’une onde radio spécifique au téléphone lorsque celui-ci s’y connecte, ce message intercepté par la puce Basebande, ordonne au téléphone de simuler toutes mises hors tension.

Toutefois il faut que cette fonctionnalité ait été implémentée sur le téléphone pour que cela fonctionne, elle est donc introduite dans le système soit par la surcouche du constructeur, ou l’installation d’une application, ou directement par la NSA en interceptant les envois de colis, comme ce fut le cas pour les routeurs Cisco, interceptés par la NSA dont Snowden a révélait l’existence.

Comme savoir si le téléphone est affecté par cette fonction (ou autres)?

  1. La différence entre le niveau de la batterie lors de la mise hors tension et lors de la remise en marche du système est trop importante. Par exemple si lors de la mise hors tension du téléphone le niveau de charge est à 65%, et lors de l’allumage il est à 40% il faut se poser des questions.
  2. Votre téléphone chauffe alors qu’il est éteint, cela signifie que la batterie était en marche.
  3. Votre téléphone s’allume et s’éteint tout seul
  4. L’autonomie de votre téléphone est étonnamment courte
  5. Vous trouvez des photos que vous n’avez jamais prises dans votre téléphone, ou au contraire des photos disparaissent sans raisons.
  6. Votre carte SD est étonnamment pleine par rapport au contenu

Ce que vous devez faire si vous avez une activité sensible et que vous voulez éviter ce type d’interceptions intrusives

  • Installer une ROM alternative comme CyanogeneMod
  • Enlever la batterie de votre téléphone à chaque RDV sensible. Si la batterie est amovible mettre le téléphone dans une pochette qui empêche l’émission ou la réception d’ondes, sinon mettre le téléphone dans un congélateur (oui oui au congélo), ce qui alter fortement les ondes.
  • Faire une réinstallation complète du système.

Je profite de ce billet pour vous informer que je fais une présentation sur l’hygiène numérique et smartphones lors de PSES 2014 le vendredi 27 juin. Viendez nombreux ^^

Simplocker, le malware Android qui chiffre votre téléphone et demande une rançon

Simplocker, le malware Android qui chiffre votre téléphone et demande une rançon

Vous avez certainement entendu parler ces derniers mois des malwares qui chiffrent le disque dur des PC sous windows, et qui demande une rançon au propriétaire de la machine pour ensuite lui donner la clé de déchiffrement, ces nouveaux types de malware sont appelés les « Ransomware » et le plus répondu est « Cryptolocker ».

Aujourd’hui, c’est au tour des smartphones sous Android d’être touché par ces nouvelle cyber-attaque. En effet c’est ce que révèle Robert Lipovsky dans un article du blog «ESET’s security intelligence team ».

Ce « Ransomware » scanne la carde SD du téléphone et chiffre les photos, documents (doc, PDF) et vidéos, et affiche ensuite un message en russe demandant une rançon de 260 Hryvnias ukrainiens (16 €) pour la récupération du contenu chiffré.

Ce malware semble être actif uniquement dans la région ukrainienne, là où « Google Play », le Store officiel d’Android, n’est pas encore généralisé et ou les téléchargements d’applications se font via des plateformes P2P ou des Stores alternatifs douteux.

Robert Lipovsky recommande de ne pas payer la rançon, car cela encouragerait la propagation de ce phénomène.

Traquer par les grandes surfaces ! Désactivez votre Wifi

Traquer par les grandes surfaces ! Désactivez votre Wifi

Nous sommes traqués ! Oui, je sais, cela fais une centaine de fois que je l’écris, mais je vous rassure, je continuerais à le répéter encore et encore.

Il faut savoir qu’aujourd’hui et depuis déjà quelques mois, les centres commerciaux, les grandes surfaces, les musés, les centres d’attractions, les gares, les aéroports etc.. s’équipent de mouchards pour suivre à la trace les clients qui déambulent dans leurs locaux.
En effet des capteurs, détectent les ondes wifi émisent par les smartphones, et peuvent ainsi faire une analyse fine du déplacement de la personne dans les rayons et/ou magasins; les zones visitées, les zones ou le client est resté le plus longtemps, la zone qu’il ne visite pas, la fréquentation d’une zone, etc.. etc..

Ces données sont ensuite analysées et modélisées pour cerner les habitudes des clients et proposer dans la majorité des cas des ajustements et/ou publicité à la carte. Bref c’est pour optimiser la stratégie commerciale du magasin.

La question que vous vous posez, est comment ce dispositif peut suivre une personne à la trace, alors que des centaines de téléphones peuvent être présents dans la même zone au même moment, et peuvent avoir la même marques et même model ?
C’est tout simple, chaque smartphone à une adresse MAC (adresse physique de la carte réseau) qui est unique et statique, comme c’est le cas pour les PCs, et c’est avec cette adresse MAC que le système peut vous suivre sans perdre votre trace.

En enregistrant cette adresse MAC, les possibilités ne s’arrêtent pas là, en effet les possibilités sont énormes

  • Il est possible de savoir si le client est accompagné ou non ; deux téléphones qui se suivent et qui font le même parcours en même temps, ce n’est pas compliqué à analyser.
  • Si c’est votre première visite, ou la énième, ainsi que la fréquence de vos visites
  • Analyser la vitesse de déplacement, et donc émettre une hypothétique tranche d’âge
  • Connaitre les autres endroits que vous fréquentez et à quel moment ; Soldes, promotions, vente privée etc.. etc..
  • Et si vous avez une carte de fidélité d’un magasin par exemple, alors là c’est le grâle, car le système détecte votre passage en caisse, et donc déduit votre identité.

Même si aujourd’hui les enseignes assurent que la collecte des données est anonyme et confidentielle, il n’en reste pas moins que ce type de pratique est très tentant, car nous savons que la vie privées ne fait pas le poids devant les profits que peuvent engendrer une surveillance massive des habitudes des consommateurs.
Non seulement nous sommes suivis, tracés, traqués sur le net, que maintenant il faut l’être physiquement.

La solution pour contrer ce flicage de masse est de fermer l’accès wifi de votre smartphone dès que vous ne l’utilisez pas. Pour cela il existe plusieurs applications qui activent ou désactivent le Wifi selon l’endroit où vous vous trouvez, l’endroit est détecté par l’analyse des antennes GSM et non la position GPS.  Je vous conseille uniquement les applications libres et open-sources qui sont un gage de sécurité et de sérieux.
« Wi-Fi Matic » répond à ces critères, c’est une application gratuite et open-source sous licence libre Apache2.
Le paramétrage est facile, c’est à vous de définir les endroits où vous voulez activer le Wifi ; à la maison, au travail par exemple, hors de ces deux zones le wifi restera inactif.

Malheureusement étant un “No Friend” de Apple, je ne connais pas d’équivalent sur l’App Store, mais cela doit existé.

 

Nous sommes tous des agents de la NSA

Nous sommes tous des agents de la NSA

Oui, Ok le titre est un peu racoleur !! Voir très provocateur, mais néanmoins réel.

Nous allons parler aujourd’hui d’un geste anodin, nous le faisons plus au moins tous, sans réfléchir à ses conséquences.
Quand je dis que nous sommes tous des agents de la NSA, c’est que nous participons, sans le vouloir, à l’alimentation d’une base de données à l’échelle planétaire.
En effet, en ajoutant un nouveau contact sur votre smartphone, tous les renseignements que vous y mettez seront automatiquement synchronisés avec votre compte Android ou ITunes. Et comme nous le savons, les grandes firmes américaines comme Google, Facebook, Apple, Amazon (Mais pas qu’eux) sont avares de ces renseignements.

Certes, c’est pratique, car quand vous allez changer de téléphone, plus la peine de copier les innombrables numéros de téléphone de l’ancien mobile, comme ce fut le cas il y a quelques années avec notre Nokia 3310, mais tous se fait automatiquement, et vous avez un seul répertoire qui fait office de contacts téléphonique et contact mail, et tous ce petit monde se synchronise automatiquement comme par magie.

Mais cette magie a ses revers, ce qu’il faut savoir c’est que vous participez à un fichage à une échelle mondiale, et quand je dis fichage, c’est une vraie fiche que vous fournissez à Google, Appel & Co. Il suffit de regarder les champs proposés lors d’un ajout de contact, plus vous êtes précis, plus votre fiche est complète.

Screenshot ajout contact
Screenshot ajout contact

Lors d’un ajout d’un nouveau contact

  • Vous renseignez un nom, prénom et numéro de téléphone portable (jusqu’à là tout vas bien, heuuu enfin tout vas mal)
  • Ensuite vous avez la possibilité de mettre tous les numéros de téléphone de la personne, bureau, maison etc.. (Cela devient un peu intrusif)
  • Vous pouvez aussi renseigner l’e-mail perso et pro (De plus en plus intrusif)
  • Ensuite, parce que c’est fun, la photo de la personne, pour que lorsqu‘elle appel sa photo apparait (là c’est un cadeau divin que vous leur donnez)
  • Ce n’est pas fini, le grâle c’est quand vous y enregistrez la date d’anniversaire, et là c’est le summum qui est atteint

Félicitation, votre fiche de renseignement est complète ! Et les BigBrothers vous remercient infiniment !!

C’est un peu une caricature, car tous les champs ne sont pas renseignés automatiquement lorsque vous ajoutez un contact. Mais cette personne que vous ajoutez, se trouve certainement sur plusieurs répertoires, et donc les renseignements que vous avez omis de mettre d’autres le feront, et avec un simple croisement de données, la fiche se complète.
Il faut savoir que le numéro de téléphone portable ou le mail, sont des données précieuses, car elles sont uniques par personne. Par exemple, si de mon côté je veux ajouter Madame Michu (hé oui je la connais !!) à mes contacts, et que je fais attention aux renseignements que je mets. Mieux, si au lieu de mettre son nom je mets un pseudo : Machachou (c’est un exemple hein 😛 )
Donc dans mon répertoire j’ajoute

  • Nom : Machachou
  • Prénom : (vide)
  • N° tel portable : 0712345678

Seulement Madame Michu connait d’autres personnes qui mettent son vrai nom, prénom dans leurs répertoires, en plus de son numéro de téléphone.
Les efforts que j’ai faits pour protéger l’anonymat de Madame Michu n’ont servis à rien, car le numéro de téléphone portable étant lié en générale à une seule personne, le croisement de données devient un jeu d’enfant.

Continuons, car c’est loin d’être fini.

Les applications que nous installons sur nos smartphones, peuvent avoir accès à nos répertoires, et de ce fait nous fournissons en renseignement plus uniquement Google & co mais Facebook, Twitter etc.. etc..

Prenons l’exemple de l’application Facebook, qui demande l’accès à votre répertoire lors de son installation et que vous acceptez sans vous posez de question.

Une personne qui ne veut pas être sur Facebook ou autre, se retrouve malgré elle dans la base de données de Monsieur Zuckerberg, même si elle ne s’est pas inscrite.
Et si un de vos contact se trouve aussi sur Facebook (ce qui est très probable), imaginez-vous alors la quantité d’information que possède cette firme sur cette personne, c’est-à-dire la fiche de votre répertoire, en plus des informations mises sur le site Facebook, c’est-à-dire les amis, la famille, les photos, vos hobbies, vos préférences etc…etc.. etc..

Franchement, je n’ai même pas envie de l’imaginer, tellement cela ruine le moral et me donne la nausée.

En résumé, vous avez beau envi de vous protéger, protéger votre vie privée et préserver votre anonymat, vous en avez plus la possibilité car le tous connectés ne nous laisse plus le choix.
D’où l’urgence aujourd’hui d’une prise de conscience généralisée, et la mise en place de formation de sensibilisation dès le plus jeune âge mais aussi à tous les niveaux de la société.

« Pour que les données personnelles d’aujourd’hui, ne deviennent pas le pétrole de demain».

Chiffrer vos données avec EncFS

Chiffrer vos données avec EncFS

Nous allons voir dans ce tuto la possibilité de créer un système de fichiers chiffré avec encFS, qui est un utilitaire très facile en prendre en main et très puissant. Le système de fichier crée, pourra être monté et démonté comme n’importe quel FS
Pour fonctionner encFS a besoin de la la bibliothèque FUSE

Pour ce tuto, je suis sous une Debian Weezy et l’utilisateur “Zenzla”

Installation:

Dans un premier temps il faut installer les paquets encFS et fuse-utils. Il faut prendre les privilèges root pour le faire

Installation et configuration de FUSE

1
apt-get install fuse-utils

Pour pouvoir utiliser FUSE, il faut l’ajouter au modules chargés au démarrage.

1
sh -c "echo fuse >> /etc/modules"

Si vous voulez en profiter sans redémarrer :

1
modprobe fuse

Il faut ajouter les utilisateurs pouvant utiliser FUSE dans le groupe fuse, comme dans mon exemple il y a que un compte “zenzla”;

1
adduser zenzla fuse

Une fois FUSE chargé (redémarrage ou modprobe fuse), le module se matérialise par /dev/fuse, cependant les droits par défaut ne sont pas corrects.
Changez-les

1
chgrp fuse /dev/fuse

Passons maintenant à l’installation de encFS

1
apt-get install encfs

Vous pouvez voir la documentation via

1
man encfs

Utilisation

Après avoir installer encFS et FUSE, il faut créer deux répertoires, nous prendrons pour exemple coffreFort_chiffre, et coffreFort_dechiffre, mais vous pouvez prendre ce que vous voulez

1
2
zenzla@monserveur:~$ mkdir -p ~/coffreFort_chiffre
zenzla@monserveur:~$ mkdir -p ~/coffreFort_dechiffre

le répertoire coffreFort_dechiffre sera utilisé comme point de montage du répertoire coffreFort_chiffre. Pour monter coffreFort_chiffre via coffreFort_dechiffre il suffit de lancer la commande

1
encfs ~/coffreFort_chiffre ~/coffreFort_dechiffre

Comme c’est la première fois que vous lancez encFS, un configuration est nécessaire

zenzla@monserveur:~$ encfs ~/coffreFort_chiffre ~/coffreFort_dechiffre

Création du nouveau volume encrypté.
Veuillez choisir l’une des options suivantes :
entrez “x” pour le mode de configuration expert,
entrez “p” pour le mode paranoïaque préconfiguré,
toute autre entrée ou une ligne vide sélectionnera le mode normal.
?>

Ici répondez “p” pour utiliser le mode paranoïaque

Configuration paranoïaque sélectionnée.

Configuration terminée. Le système de fichier à créer a les propriétés suivantes :
Cryptage du système de fichiers : “ssl/aes” version 3:0:2
Encodage de fichier “nameio/block”, version 3:0:1
Taille de clé : 256 bits
Taille de bloc : 1024 octets, y compris 8 octets d’en-tête MAC.
Chaque fichier contient un en-tête de 8 octets avec des données IV uniques.
Noms de fichier encodés à l’aide du mode de chaînage IV.
Les données IV du fichier sont chaînées à celles du nom de fichier
File holes passed through to ciphertext.

————————– AVERTISSEMENT ————————–
Le vecteur d’initialisation externe a été activé.
Cette option n’autorise pas l’usage de liens durs dans le système de fichiers.
Sans liens durs, quelques programmes peuvent ne pas fonctionner.
Les programmes «mutt» et «procmail» sont connus pour échouer.
Pour plus d’information, reportez-vous à la liste de discussion d’encfs.
Pour choisir une autre configuration, pressez CTRL-C et recommencez.

Vous devez entrer un mot de passe pour votre système de fichiers.
Vous devez vous en souvenir, car il n’existe aucun mécanisme de récupération.
Toutefois, le mot de passe peut être changé plus tard à l’aide d’encfsctl.

Nouveau mot de passe :

Saisissez votre mot de passe, puis confirmez-le
Je vous conseil vivement de choisir un mot de passe robuste entre 15 et 30 caractères, pour cela je vous invite lire mon billet dédié à la gestion des mots de passe

Il est important de vous rappeler de votre mot de passe, car il est si vous l’oubliez, vous n’avez aucun moyen de le récupéré

Et hope, vous devez maintenant trouver votre volume encFS monté. Vous pouvez le vérifier avec

1
mount

sysfs on /sys type sysfs (rw,nosuid,nodev,noexec,relatime)
proc on /proc type proc (rw,nosuid,nodev,noexec,relatime)
udev on /dev type devtmpfs (rw,relatime,size=10240k,nr_inodes=127994,mode=755)
devpts on /dev/pts type devpts (rw,nosuid,noexec,relatime,gid=5,mode=620,ptmxm e=000)
tmpfs on /run type tmpfs (rw,nosuid,noexec,relatime,size=103460k,mode=755)
/dev/mapper/monserveur-root on / type ext4 (rw,relatime,errors=remount-ro,user attr,barrier=1,data=ordered)
tmpfs on /run/lock type tmpfs (rw,nosuid,nodev,noexec,relatime,size=5120k)
tmpfs on /run/shm type tmpfs (rw,nosuid,nodev,noexec,relatime,size=206900k)
fusectl on /sys/fs/fuse/connections type fusectl (rw,relatime)
/dev/sda1 on /boot type ext2 (rw,relatime,errors=continue)
rpc_pipefs on /var/lib/nfs/rpc_pipefs type rpc_pipefs (rw,relatime)
encfs on /home/zenzla/coffreFort_dechiffre type fuse.encfs (rw,nosuid,nodev,re time,user_id=1000,group_id=1000,default_permissions)

ou

1
df -h

Sys. fich. Taille Util. Dispo Uti% Monté sur
rootfs 7,3G 1,3G 5,7G 19% /
udev 10M 0 10M 0% /dev
tmpfs 102M 244K 101M 1% /run
/dev/mapper/monserveur-root 7,3G 1,3G 5,7G 19% /
tmpfs 5,0M 0 5,0M 0% /run/lock
tmpfs 203M 0 203M 0% /run/shm
/dev/sda1 228M 17M 200M 8% /boot
encfs 7,3G 1,3G 5,7G 19% /home/zenzla/coffreFort_dechiffre

Pour chiffrer vos fichiés, il vous reste plus qu’a mettre vos données dans le répertoire coffreFort_dechiffre.

Faisons un test en créant les deux fichiers monde et znzl

1
2
3
cd ~/coffreFort_dechiffre
echo "Coucou le monde" > monde
echo "C'est le blog de Zenzla" > znzl

En listant les documents du répertoire vous allez trouver les deux fichiers précédemment crées

1
2
3
ls -l
-rw-r--r-- 1 zenzla zenzla 16 avril 18 17:47 monde
-rw-r--r-- 1 zenzla zenzla 12 avril 18 17:47 znzl

Retournons au répertoire coffreFort_chiffre

1
cd ~/coffreFort_chiffre

et listons le contenu

1
2
3
ls -l
-rw-r--r-- 1 zenzla zenzla 32 avril 18 17:47 76kodrZUf8FQVz-MzCCT77Dh
-rw-r--r-- 1 zenzla zenzla 28 avril 18 17:47 -scuEcPc,h-2t,jnmr5Ljjbk

Les documents crées précédemment sont chiffrés.

Pour démonter le volume rien de plus facile.

1
2
cd
fusermount -u ~/coffreFort_dechiffre

Vous pouvez vérifier avec les commande précédemment utilisées mount et df -h

Vous remarquerez certainement que vous avez toujours accès aux deux répertoires, mais vous pouvez lister uniquement ~/coffreFort_chiffre qui contient les fichiers chiffrés et de ce fait illisible. Le répertoire ~/coffreFort_dechiffre lui, est vide.

Pour remonter le volume

1
encfs ~/coffreFort_chiffre ~/coffreFort_dechiffre

Si vous voulez changer votre mot de passe

1
encfsctl passwd ~/coffreFort_chiffre

zenzla@monserveur:~$ encfsctl passwd ~/coffreFort_chiffre
Veuillez entrer le mot de passe Encfs actuel
Mot de passe : Veuillez entrer le nouveau mot de passe Encfs
Nouveau mot de passe : Vérifier le mot de passe : Clé de volume mise à jour avec succès.

Et voilà!!

Vous avez aimé cet article ? Alors partagez-le ^^

Comment savoir si votre serveur est touché par la vulnérabilité openssl “Heartbleed”

Comment savoir si votre serveur est touché par la vulnérabilité openssl “Heartbleed”

Heartbleed
Heartbleed
Comme vous le savez déjà, une grave faille fut découverte dans le protocole SSL de openssl, cette faille fut baptisée « Heartbleed ».
Comment savoir si votre serveur est touché?

Dans un premier temps il faut savoir que la faille touche uniquement la version 1.01 et plus exactement les versions inférieurs à la version 1.01g.

Donc pour connaitre la version d’openssl de votre serveur tapez la commande suivante :

1
Openssl version

Si cette commande vous renvoie

1
2
openssl version
OpenSSL 1.0.1e 11 Feb 2013

Votre serveur est vulnérable, car la version est inférieur à la 1.01g, une mise à jour est nécessaire.
Et si vous avez ce résultat

1
2
openssl version
OpenSSL 0.9.8o 01 Jun 2010

Ici cette version n’est pas vulnérable, c’est la version utilisée par Debian Squeeze, car seules les versions 1.01 sont touchées.

Mise à jour.

Pour corriger la vulnérabilité mettez à jour votre serveur.

Pour Debian et debianlike

1
Apt-get update && apt-get upgrade

Pour Fedora

1
yum update

OpenSUSE

1
zypper update

Ensuite il faut redémarrer tous les services utilisant openssl comme; sshd, apache, MySQL, nginx, postfix, dovecot, courier etc..
Il est donc préférable de redémarrer le serveur, pour ne pas oublier un des ces services.

Comment savoir si la mise à jour a bien été faite?.

Il existe aujourd’hui un test permettant de savoir si votre serveur présente des failles :
http://filippo.io/Heartbleed/