dimanche 7 février 2010

De l'informatique et de la liberté


Comment sécuriser son PC, comment se protéger sur  internet
_________________________________________


Beaucoup de choses a dire sur le sujet: Historique du Réseau
 _________________________

Des usages policiers de l'informatique... et de quelques pistes pour s'en prémunir



De la saisie répétée des disques durs de serveurs militants à la réquisition de tous les supports de stockage lors des perquisitions, l’exploitation policière des données informatiques est devenue une pratique systématique, permettant de constituer très facilement des dossiers à charge. Reste donc à se doter des connaissances, des outils, et des pratiques qui conviennent : si les ordinateurs peuvent nous trahir, il s’agit de savoir comment ils font… et de devenir capables de leur clouer le bec.
Et comme «faire parler un ordinateur» peut se faire soit en le saisissant, soit en récoltant des informations qu’il envoie par le réseau, on vous propose un article en deux temps : dans cette édition, quelques pistes pour ne pas se laisser trahir par sa machine ; et dans le prochain numéro, quelques trucs pour tenter de se protéger lors de la connexion.
Attention cependant : vues la diversité et la complexité des failles possibles dans un système, on ne peut donner ici que quelques techniques, demandant souvent des recherches complémentaires, afin de limiter la casse en gardant à l’esprit que c’est toujours par la porte la moins bien gardée que pourra se faire une attaque.
Quelques trucs pour protéger ses données
a) Choisir ses logiciels et son système

Préalablement à tout effort de «sécurisation» d’un système d’exploitation, il est essentiel de pouvoir accorder une certaine confiance à celui-ci, et aux logiciels qu’il accueille : il est impossible de savoir exactement ce que font Windows, Mac, et tout les logiciels propriétaires (non-libre), puisque leurs codes ne sont pas publics, et il est prouvé qu’il existe des «portes dérobées» permettant à qui en a la clé de prendre le contrôle du système. À l’inverse, les codes des systèmes d’exploitation Linux [On peut télécharger le CD d’installation de Linux «Debian»] et des logiciels libres sont publics, et souvent relus et travaillés par divers programmeurs, ce qui limite la possibilité de magouilles (attention toutefois à les télécharger sur un serveur fiable).

b) Séparer les espaces de travail

On estime que 40 à 80% des ordinateurs sous Windows sont infectés par des logiciels malveillants récupérés sur internet ou sur des clés USB, qui balancent toutes sortes d’informations (données personnelles, mots de passe…) à toutes sortes de gens (sociétés de com’, flics…).

À défaut de pouvoir se débarrasser de tous ceux-ci, il est important de faire en sorte qu’ils ne puissent pas côtoyer ou contaminer des fichiers sensibles ; d’où la nécessité d’utiliser des espaces de travail séparés en fonction de l’usage qu’on en a : plusieurs supports de stockage, plusieurs systèmes d’exploitation, et pourquoi pas, plusieurs ordinateurs.

c) Savoir se débarrasser des fichiers gênants

Lorsqu’on supprime un fichier, son contenu continue en fait à subsister sur le support de stockage où il se trouvait, et peut être retrouvé très facilement. La seule manière d’effacer réellement un fichier est de récrire plusieurs fois avec des données aléatoires sur l’espace qu’il occupe.

Il existe des logiciels qui permettent ce genre d’«effacement sécurisé», soit en effaçant sélectivement un fichier ou un dossier, soit en recouvrant la totalité de l’espace libre d’un support de stockage avec de nouvelles données : voir Eraser sous Windows, l’option «Effacer de manière sécurisée» sous Mac OS X, les commandes wipe, shred, srm et sfill sous Linux. Attention : l’effacement sélectif ne fonctionne pas avec les clés USB (qui utilisent une mémoire flash) ; la seule manière de les nettoyer est de recouvrir totalement leur espace libre.

d) Limiter les traces

Enregistrement automatique de fichiers sous un nom différent, journalisation de tous les évènements du système d’exploitation : l’activité normale des ordinateurs laisse autour d’elle quantité de traces, comme autant de copeaux permettant de retrouver des fichiers plus ou moins complets, des mots de passe, des traces de connexion internet, etc.

Seule une configuration fine de ses logiciels, liée à une bonne connaissance de leur fonctionnement, peut permettre de diminuer la quantité de traces qu’ils laissent, et/ou de choisir leur destination.

Quant aux traces stockées en mémoire vive (la «RAM» est une mémoire particulière qui enregistre de manière temporaire de nombreuses informations utilisées par le système d’exploitation), elles sont censées s’effacer d’elles-mêmes lors de l’extinction de l’ordinateur.

Mais d’une part, il arrive que la RAM se répande sur une partie du disque dur (la SWAP) qui elle, ne s’effacera pas ; d’autre part, certaines techniques peuvent permettre de retrouver le contenu de la RAM après extinction de l’ordinateur. Sous Linux, les commandes smem et sswap permettent de remplir ces deux mémoires de données aléatoires.

Enfin, notons que des signatures peuvent aussi être laissées sur les documents produits avec un ordinateur donné : numéro de série du logiciel ou informations sur l’auteur (fichiers PDF), mais aussi micro-défauts d’impression ou de gravure liés à l’usure de l’imprimante ou du graveur, qui permettent de l’identifier sans doute possible, tout comme l’empreinte d’impact sur une balle permet de retrouver le canon qui l’a propulsée. Sans compter que certaines imprimantes laissent à dessein de micro-signatures permettant d’identifier leur modèle (on peut en trouver la liste).

Il est finalement illusoire d’espérer supprimer toutes les traces laissées par le fonctionnement normal d’un ordinateur. Mieux vaut soit ne pas en laisser du tout, en faisant fonctionner la machine avec un Live CD (système d’exploitation sur CD) configuré pour n’utiliser ni le disque dur ni la swap ; soit, revenir à la bonne vielle cachette sous l’évier : démonter un disque dur est l’affaire d’une minute et de trois coups de tournevis ; soit enfin, se débrouiller pour que les données retrouvées soient inexploitables : c’est ici qu’intervient la cryptographie.

e) Chiffrer ses données

Le chiffrement des données (cryptographie) permet de les rendre totalement incompréhensibles pour qui n’a pas le mot de passe, et ce, de manière très fiable.

Les logiciels TrueCrypt sous Windows, FileVault sous Mac OS X, et dm-crypt avec Cryptsetup ou Efscrypt sous Linux, permettent de chiffrer soit sélectivement des fichiers ou des dossiers, soit l’espace disque qui sera utilisé pour la swap, soit, la totalité d’un disque dur. Cette dernière option est de loin la plus intéressante, puisqu’elle permet de garder confinée la totalité du système d’exploitation, traces comprises… mais elle n’est possible, dans sa version «libre», que sous Linux.

f) Se méfier des solutions trop simples

Au vu des problèmes que cela peut induire, on pourrait être tenté de ne plus utiliser son ordinateur ou son système d’exploitation habituel. Malheureusement, cette alternative ne fait le plus souvent que déplacer le problème : ainsi, les «logiciels portables», qui prétendent souvent apporter des garanties «sans trace», en laissent en fait toujours dans le système d’exploitation qui est utilisé pour les faire fonctionner ; et les cybercafés, de leur côté, ne garantissent pas du tout l’anonymat, ne serait-ce que parce que certains d’entre eux installent volontairement des logiciels-espions dans leurs machines. Si l’usage de ces derniers ne peut pas être contourné, penser à utiliser des comptes séparés pour les différents usages, à détourner la webcam de son visage, et à toujours taper les mots de passe avec un clavier virtuel (petit logiciel qui permet de rentrer les lettres en les sélectionnant à l’écran).

g) Surveiller ses arrières

Au-delà des problèmes de traces ou de logiciels-espions génériques, la surveillance informatique peut aussi être une affaire ciblée.

L’installation de logiciels-espions (désormais exploitable juridiquement) dans une machine donnée peut être aussi facile que d’envoyer un mail hébergeant un cheval de Troie ou d’accéder trente secondes à l’ordinateur lui-même ; la surveillance permanente d’une connexion internet, de son côté, est simple comme une réquisition du parquet ; et la récupération de codes d’accès à une boîte mail ne demande dans la plupart des cas qu’une requête en bonne et due forme auprès de l’hébergeur.

Ajoutons pour le côté science-fiction qu’il est techniquement possible de surveiller à distance écran et clavier…

En conséquence, et pour finir, on ne saurait trop conseiller de garder un œil sur son matériel, et de rester vigilant vis-à-vis de l’endroit depuis lequel on l’utilise…

Rebetiko no 4, hiver 2010
Chants de la plèbe
.

Surveillance informatique : Quelques pistes pour protéger ses connexions



Surveillance informatique
Partie 2.1 : Quelques pistes pour protéger ses connexions


Des serveurs relais qui enregistrent les flux de données circulant sur internet ; des logiciels espions injectés à distance dans les ordinateurs pour surveiller leurs activités (loppsi II) ; des procureurs qui traquent les crimes de lèse-majesté à l’aide des adresses IP de connexions : il y a des flics à tous les coins de rue aussi le cyber-espace. Dans ce deuxième volet (et dans le troisième, à suivre) de la série sur la surveillance informatique, quelques pistes pour tenter de protéger son ordinateur au cours d’une connexion au réseau.
Le problème prend ici une dimension particulièrement délicate, car, sauf efforts de configuration colossaux, tout ordinateur connecté à un réseau est susceptible de communiquer avec celui-ci sans que l’utilisateur ne lait demandé.

Comme la mise en réseau décuple les problèmes évoqués dans notre premier texte, le fait d
avoir installé un système dexploitation de confiance est une condition pour que les outils présentés ici aient un minimum defficacité, quitte à utiliser systématiquement un système live (cf. première partie). Et même ainsi, une prise de contrôle de lordinateur par le réseau reste possible, permettant de tout savoir sur celui-ci. La question est complexe, et nous ne pourrons donner que des ébauches de pistes à creuser. Par ailleurs, comme certains des outils présentés sont déjà connus et utilisés (et parfois avec une confiance excessive), il est utile den aborder aussi les limites.


1. Limiter les attaques par le réseau
La «Box» [
Le vrai nom de ces machines est «routeur».] (Freebox, Livebox, etc.) qu’on utilise pour se connecter à internet contient un système d’exploitation très basique, installé par son fournisseur (Orange, Free, etc.), sur lequel celui-ci détient tous les droits d’administration. Se pose dès lors la question de la confiance qu’on peut lui accorder, en particulier pour trois raisons :
— Tout ordinateur connecté à une Box lui communique le numéro de sa propre carte réseau [Le matériel qui gère les connexions.] (l’adresse MAC), qui est unique, et reste enregistré dans celle-ci à vie ; l’accès physique à la Box, ou sa simple consultation depuis le réseau par le fournisseur, permet de lui faire communiquer ces informations. Il est cependant possible d’obtenir qu’un ordinateur emploie une fausse adresse Mac, en configurant directement la carte réseau à cette fin [Une petite recherche scroogle (https://ssl.scroogle.org) donne de bons résultats, comme par exemple http://free.korben.info/index.php/Changer_son_adresse_MAC.].
— Se trouvant placée sur un réseau local, la Box bénéficie d’une confiance particulière de la part des ordinateurs qui sont sur ce réseau : elle est en position idéale pour ouvrir l’accès à une attaque.
— Le système installé sur la Box inclut un firewall [Ou pare-feu, c’est le logiciel qui gère les connexions entrantes et sortantes.], mais encore une fois, on ne contrôle pas ce qu’il fait. Il est donc intéressant d’installer un autre firewall sur son propre ordinateur [Netfilter/Iptables sous Linux ; sous Windows, mieux vaut renoncer à se connecter que d’espérer trouver une réelle protection.], voire d’attribuer toute la gestion du réseau local à un autre routeur, branché entre la Box et les ordinateurs, sur lequel on aura installé un système de confiance [Un bon exemple (en anglais) sur http://openwrt.org.].
Une attaque par le réseau peut aussi provenir de logiciels malveillants présents dans des données dont on a demandé soi-même le téléchargement (mails, programmes, micro-programmes comme JavaScript ou Flashplayer permettant l’affichage de pages dynamiques [Les extensions FlashBlock et NoScript, qu’on peut installer sur Firefox ou Iceweasel, permettent de bloquer ces deux programmes.]).

2. Limiter la transparence des informations échangées

Toutes les informations qui circulent sur un réseau ont une double nature : elles comprennent d’un côté les données elles-mêmes (le «contenu», dans le corps de texte d’un mail par exemple), et d’une autre, des informations permettant à ce contenu d’être acheminé sur le réseau (on parle de «routage») [
Ces informations, appelées «en-tête», contiennent toujours a minima l’adresse d’expédition du message, son adresse de destination, et la date et l’heure de l’émission.]. Le contenu comme les en-têtes sont échangés de manière transparente, et peuvent donc être enregistrés par les ordinateurs (routeurs) qui relaient les données sur le réseau, aussi facilement qu’une carte postale sans enveloppe peut être lue par quiconque l’a en main [Les fournisseurs de services sur Internet (de Youtube à Gmail, de No-log à Libération.fr) ont d’ailleurs, dans la plupart des pays, l’obligation légale de permettre, pour toutes les connexions qu’ils établissent, leur mise en correspondance avec une adresse réseau (IP) d’émission, cf. prochain épisode.].

On peut chiffrer le contenu des échanges de manière à le rendre confidentiel, mais cela n’a aucune incidence sur les informations d’en-tête ; on peut tenter de modifier les en-têtes de manière à en masquer l’origine (pseudo-anonymat), mais cela n’a aucune incidence sur le contenu. Dès lors qu’on recherche, sur internet, la confidentialité ET l’anonymat, il faut combiner ces deux techniques, dont seule la première sera évoquée dans ce numéro.

2.a. Du bon usage des connexions chiffrées
Certains serveurs web, ceux dont l’adresse commence par https://, permettent d’établir automatiquement des connexions chiffrées. Dans ce cas, les logiciels des deux ordinateurs (le client — celui qui se connecte  — et le serveur) créent entre eux un «tunnel chiffré» par lequel les contenus seront échangés. Un usage bien compris de ce protocole demande quelques précisions :

— Sa solidité repose beaucoup sur la possibilité, pour le client, de s’assurer de l’authenticité du serveur avec lequel se crée l’échange. Si cette authenticité ne peut être vérifiée, le navigateur le fait savoir au moyen d’un message d’erreur ; il reste alors possible d’établir une connexion chiffrée… mais il se peut que la connexion ait été interceptée, et que le tunnel se crée avec le serveur qui effectue l’interception. L’établissement d’une connexion sécurisée devient alors possible, mais avec un serveur-relais mal intentionné qui, afin de rester discret, transmet ensuite les informations à la page demandée, mais en les déchiffrant-rechiffrant au passage. La seule solution pour éviter cette interception est de se procurer de manière certaine la signature (certificat) du site auquel on veut se connecter, et de l’installer dans son navigateur, avant d’établir la connexion [La page internet https://aide.boum.org/CertificatSSL/ propose des explications détaillées sur ces questions, ainsi qu’un protocole pour vérifier efficacement l’authenticité d’un certificat.].
— Les données étant chiffrées uniquement pour le trajet, elles se trouvent à l’état déchiffré sur les ordinateurs qui communiquent.
— L’échange d’informations n’est parfois chiffré que sur une partie du trajet : par exemple, si l’utilisateur d’une boîte gmail envoie un mail à un utilisateur sur no-log, la connexion avec gmail est bien en https, et celle du destinataire, avec no-log, l’est aussi… mais gmail ne chiffre pas les connexions qu’il établit avec les autres serveurs : le mail est alors, sur cette partie du trajet, transmis en clair.
2.b. Crypter ses mails

Certains logiciels, comme Mozilla Firefox, Claws Mail, ou Thunderbird, proposent d’installer un module complémentaire (FireGPG, Enigmail) qui peut prendre en charge le chiffrement et le déchiffrement des mails. On peut ainsi assurer leur confidentialité pendant la totalité du trajet. Là encore, il faut prendre en compte certaines limites :

— Lors de l’écriture d’un mail, ne pas oublier de désactiver l’enregistrement automatique des brouillons… sans quoi le brouillon non chiffré peut rester stocké sur le disque dur du serveur. Utiliser l’éditeur de texte de FireGPG rend inopérante cette sauvegarde automatique.
— Le chiffrement n’agit que sur le corps de texte des mails. Mais les mails disposent de leur propre en-tête, d’un autre type que celui évoqué plus haut, et qui contient le même genre d’informations, ainsi que le sujet du mail. Il n’existe aucun moyen de chiffrer ou masquer cet en-tête, ni d’empêcher son enregistrement éventuel sur les machines qui relaient le mail.
— Les mails échangés doivent être déchiffrés pour être lus : ils peuvent dès lors laisser toutes sortes de traces de leur présence, ou de la phrase qui a servi à les chiffrer, dans le système d’exploitation du destinataire ou de l’expéditeur.
Certaines pages web expliquent très bien le fonctionnement et l’usage du chiffrement des mails [Par exemple, http://globenet.org/IMG/pdf/manuel-crypto.pdf et les tutoriaux que cette brochure suggère de consulter. Le site https://mail.riseup.net propose lui des outils «en ligne» de chiffrement des mails.].

post-scriptum au premier volet :
Des données invisibles dans les documents numériques
Les fichiers numériques peuvent être enregistrés sous différents formats. Les formats de fichier complexes (.doc, .mp3, .tiff, .jgp, .pdf, etc.) enregistrent, en plus des données qu’on veut sauvegarder, des nombreuses informations complémentaires : ces méta-données peuvent indiquer le nom de l’auteur, la date de création, la géolocalisation d’une photo, la marque de l’appareil qui l’a prise, voire parfois, contenir une miniature de cette photo avant modification (ce qui peut rendre par exemple inopérant le floutage des visages sur les photos publiées sur internet)… On peut vérifier leur présence (mais pas vraiment leur absence) en faisant simplement afficher, avec un clic droit, des «informations sur le fichier». On ne connaît aucune technique ou aucun logiciel fiable pour se débarrasser des méta-données : il est toujours possible de copier-coller les données dans un nouveau fichier (ce qui en supprime déjà les plus flagrantes), en optant pour les formats d’enregistrement les plus basiques (.bmp pour les images, .txt pour les textes), qui en conservent beaucoup moins… Ce problème, ainsi que des tests vraiment effrayants, sont présentés par la brochure (en anglais) Hidden Data in Internet.

À suivre : Quelques autres pistes pour protéger ses connexions… et pour trouver des informations plus complètes.

Rebetiko no 5, printemps 2010
Chants de la plèbe.
__________________________________________________________________________
________________________________________

Depuis toujours les hackers ont mis en place des bibliothèques virtuelles squattant le cyberspace. Le plus connu de la communauté francophone est le glorieux madchat dont il existe de nombreuses déclinaisons. Madchat est immortel, ses clones et miroirs hantent le réseau. Madchat est un reposito dont voici un extrait du repositorium.txt d'origine:
Créations de la scène open-source libre et parfois souterraine

SYNOPSIS
 http://madchat.org/ - bibliothèque de données libres 
DESCRIPTION
 Agrégation/sédimentation de volumes de connaissances
OVERVIEW
 [DIR] -< coding >/ - prog docs sources c/c++ rezo perl sh
 [DIR] -< crypto >/ - cyphers stegano vpn hash/lib/algo
 [DIR] -< esprit >/ - le maitre des ames
 [DIR] -< reseau >/ - sekurite, monitor et defense reseau
 [DIR] -< search >/ - saint-bernard des textes enneiges
 [DIR] -< sysadm >/ - unix guides admin seku kernel
 [DIR] -< vxdevl >/ - naissance intelligence cybernetique

SYNTAX
 http://madchat.org/coding/c/sources/
 http://madchat.org/esprit/texture/vitaminK.jpg
ENVIRONMENT
 C'est la zone
 Attention aux champignons
OPTIONS
 ftp://madchat.org/incoming/madchat/ {ftp anonyme}
 Tu peux contribuer si le but de ta contrib n'est pas traductible en mots
FORMAT
        Automatic directory listing en l'absence d'index : Apache mod_autoindex
 Ce n'est pas 'le site d'un groupe' et il n'y a pas de 'pages web' (x100)
POLICY
 Espace gratuit et libre
 La base de fichiers ne revendique rien
 


Les 3 Derniers repositos:   + celui des méchants  Autonomes

Madchat
Madchat       
Madchat

et gaffe a la super louche thehackademy qui n'est qu'une école de ... Police ...
alors passe ton chemin camarade !
 

  Ni White hat Ni black hat Ni grey hat

Hacktivistes « l'information veut être libre »

Hacker comme virtuose de la technologie et activiste politique que l'on retrouve le plus souvent dans les luttes libertaires et altermondialistes

Le Manifeste du Hacker (titré en anglais The Hacker Manifesto, ou The Conscience of a Hacker, « La Conscience d'un Hacker ») est un petit article écrit le 8 janvier 1986, par le hacker Loyd Blankenship après son arrestation, sous le pseudonyme de « The Mentor ». Publié pour la première fois dans le magazine électronique underground Phrack (Volume 1, Numéro 7, Phile 3 de 10), on peut de nos jours le trouver sur de nombreux sites web. Il est souvent confondu, du fait d'une proximité de titre, avec l'essai de 2006 sur la libération de l'information Un Manifeste Hacker (“A Hacker Manifesto”) du théoricien des médias McKenzie Wark. Article


____________________________________

Le crypto-anarchisme est une philosophie qui prône l'emploi de clés publiques et de la cryptographie dans le but de renforcer le secret, l'intimité et la vie privée sur Internet (privacy en anglais). Les crypto-anarchistes ont pour objectif de créer des communautés virtuelles où tous les membres sont anonymes ou sous pseudonyme.
Dans ces communautés virtuelles, l'identité physique d'un pseudonyme doit être presque totalement impossible à découvrir. Les crypto-anarchistes pensent que ce n'est qu'à l'intérieur de ces communautés qu'ils peuvent être totalement libres, car dans les autres communautés, il y a toujours quelqu'un qui a la possibilité de trouver qui ils sont ou d'écouter ce qu'ils disent. De plus, le développement de méthodes de surveillance qui accompagne la croissance d'Internet, permettent désormais que soit mis en place un pouvoir de surveillance par ordinateur qui est sans antécédent. Par conséquent, les crypto-anarchistes affirment que le développement et l'usage de la cryptographie sont un des moyens de se défendre contre ce pouvoir de surveillance qui va continuer à croître et à s'introduire de plus en plus dans la vie privée. Ce moyen de défense est pour eux à développer à côté de l'action politique.
 __________________________________________

Les cypherpunks ( composé à partir des mots anglais cipher (chiffrement) et punk sur le modèle de cyberpunk) forment un groupe informel de personnes intéressées par la cryptographie. Leur objectif est d'assurer le respect de la vie privée par l'utilisation proactive de la cryptographie.
Le terme cypherpunk a été inventé par Jude Milhon, se voulant un jeu de mot pour décrire des cyberpunks qui avaient recours à la cryptographie.
Cypherpunk, cypherpunks ou cpunks sont aussi le couple login/mot de passe de comptes créés sur des sites web requérant un enregistrement. Ils sont alors utilisés par des utilisateurs qui ne souhaitent pas divulguer de données personnelles.
______________________________________

Le Cyberpunk est un sous-genre de la science-fiction décrivant un monde dystopique et dont l'origine remonte au début des années 1980. Il a depuis essaimé ses thématiques dans de nombreux média, notamment dans la bande dessinée, le cinéma, la musique, les jeux vidéo et les jeux de rôle.
« Le courant Cyberpunk provient d'un univers où le dingue d'informatique et le rocker se rejoignent, d'un bouillon de culture où les tortillements des chaînes génétiques s'imbriquent. »
La littérature cyberpunk est fréquemment associée aux courants politiques révolutionnaires (anarchisme, marxisme, ultra-gauche, libertaire et situationnistes ...) bien qu'une large part de cette littérature penche vers un nihilisme apolitique.
_______________________________________

Le postcyberpunk décrit un genre de science-fiction censé avoir émergé du mouvement cyberpunk. Tout comme son prédécesseur, le postcyberpunk se concentre sur les développements technologiques dans des sociétés du futur proche, typiquement en examinant les impact sociaux de la télécommunication tous azimuts, de la génétique et de la nanotechnologie.

Et pour finir très provisoirement: Quelques perles-liens:
gnu philosophie
passeralinux
y'a pas que GNU-Linux y'a la bande a BSD:
freebsd

Aucun commentaire:

Archives du blog