Tag Archives: security

POODLE

Assez des bugs des anciennes versions de TLS (notamment SSLv3)? Deux solutions s’offrent à vous. La première, plus risquée, attendre le 25 Novembre que SSLv3 soit désactivé de Firefox 34. La seconde, prendre les devants en fixant la variable security.tls.version.min à 1 dans l’onglet about:config de Firefox.

Un des serveurs de mon employeur ne fournissant pas TLS, je ne peux malheureusement faire cette petite manipulation (Error code: ssl_error_no_cypher_overlap). Je suis inquiet car il s’agit de l’unique serveur me posant ce problème. Heureusement qu’à partir du 25 novembre il devra bien être mis à jour…

Sécurité d’Android

Voici un article très intéressant sur le chiffrement des données du système Android. Il s’agit surtout de la sécurité de l’appareil (en cas de réquisition, de perte ou de vol) et non des problèmes liés aux applications qui peuvent laisser fuiter des données déchiffrées (backdoor, etc.).

L’article me rend plus enthousiaste que d’habitude. À condition d’utiliser un PIN correct (et non un PIN de 4 caractères) nos données semblent plutôt bien protégées avec Android 4.4. Android L (5.0) intégrera normalement un système équivalent à Secure Enclave. Il s’agit d’une puce où est stocké un UID (lors de l’assemblage du smartphone) et qui est conçue pour ne pas laisser sortir les clés de chiffrement). Un peu comme avec les Trusted Platform Module.

Un autre article traitant de ce sujet pour iOS 8 (article moins intéressant car il est plus compliqué de discuter d’un système privateur).

Si vous désirez contrôler ce que les applications envoient sur Internet je vous conseil d’utiliser orWall avec orBot.

Des documents à propos de FinFisher

WikiLeaks met à notre disposition la suite d’espionnage de FinFisher ainsi que des données très intéressantes. FinFisher, une société opérant depuis l’Allemagne, a en effet été victime d’un piratage en Août dernier. Les pauvres.

FinFisher développe donc des logiciels utilisés pour espionner notamment des journalistes ou des activistes. La liste des clients fait parti des documents qu’il est maintenant possible de consulter. Ils sont très variés. On peut constater que le chiffre d’affaire estimé de FinFisher est très important.

Dans la base de données nous retrouvons aussi des noms, des clés PGP, des adresses email (comptes GMail, comptes hébergés au Qatar, etc.) et des discussions. Par exemple une personne ayant recours au helpdesk car elle n’arrive plus à envoyer son trojan ou encore une autre personne ne parvenant pas à contrôler l’état de l’ordinateur d’une victime. J’imagine bien le support, “Oui bonjour, j’utilise votre kit FinIntrusion et depuis ce matin je ne parviens plus à me connecter à l’ordinateur de Mme. Merkel. D’où pourrait provenir le problème?”. Ça pourrait être hilarant, mais ça ne l’est pas vraiment. Surtout lorsque l’Allemagne donne des leçons au gouvernement Américain.

Pas de panique

Vous êtes en zone sécurisée. Ce site dispose maintenant d’un certificat à la norme X.509 certifié par l’autorité de certification CAcert.org que votre navigateur ne connaît peut-être pas. Donc ne paniquez pas si vous voyez un message d’alerte. Vérifiez l’empreinte du certificat et acceptez le (si vous voulez).

Je vous incite également à utiliser Tor pour votre surf sur le Web (ce n’est pas la peine si vous ne vous intéressez pas à votre vie privée). J’utilise moi-même Tor pratiquement pour me connecter à tous les serveurs Web. Sauf les serveurs qui fournissent uniquement une connexion HTTP, auxquels je dois m’identifier (avec des données privées). Donc jusqu’à aujourd’hui je ne pouvais pas m’identifier sur ce blog ou ce wiki en utilisant le réseau Tor. Ce problème est résolu. Ainsi j’écris en ce moment même ce billet en passant par quelques noeuds du réseau Tor et je sais que la connexion entre le noeud de sortie et le serveur hébergeant le blog est sécurisée.

Pourquoi je veux utiliser HTTPS?
D’abord pour vous, mes chers lecteurs. Certains tentent peut-être, comme moi, de faire des efforts pour préserver un semblant de vie privée.
Mais surtout car je veux participer à la généralisation d’un Web plus sécurisé (raison pour laquelle je poste régulièrement des billets de propagande pour le réseau Tor), en partie en inondant des agences comme la NSA de données chiffrées.