Hier, Wikileaks a publié environ 8700 documents datés entre 2013 et 2016, qui selon leurs dires, viennent du Centre de Cyber Intelligence de la CIA. En gros, le service qui s'occupe de l'espionnage cyber chez nos amis américains. Ce service a la particularité d'être sur un réseau haute sécurité totalement isolé à Langley en Virginie et dispose aussi d'une antenne en Europe dans la jolie ville de Francfort en Allemagne (dans le consulat US).

 

Et le contenu rassemblé sous le hashtag #Vault7 n'est pas triste. Premièrement, on y trouve pas mal d'exploits Android qui ont été développés par la CIA, la NSA, le GCHQ (la NSA anglaise) et des vendeurs privés, sur la base de failles non connues (0days).

Ces attaques visant les smartphones permettent à la CIA de contourner le chiffrement de WhatsApp, Signal, Telegram et d'autres, leur permettant de collecter les messages textes et audio en clair.

La CIA utilise aussi des malwares et des outils de hack pour cibler les iPhone, les télévisions (smart TV), mais aussi une boite à outils baptisée Hive permettant de cibler les routeurs et les OS comme Linux, macOS et Windows.

Par exemple, concernant les télévisions, l'une de ces attaques nommée "Weeping Angel" permet de faire croire à la cible que sa TV est éteinte, alors qu'elle enregistre toutes les conversations dans la pièce et balance tout ça à la CIA via Internet.

Autre exemple, le programme "Hammer Drill" qui permet d'infecter des fichiers distribués via CD/DVD pour franchir les fameux Air Gap (lorsqu'un ordinateur ou un routeur n'est pas connecté à un réseau accessible depuis l'extérieur, voire totalement hors réseau). Pour cela, la CIA place le malware sur un DVD vu comme vierge par le logiciel Nero et au moment de la gravure, ce malware prend soin d'infecter les fichiers gravés.

La CIA a aussi mis au point un malware baptisé "Rain Maker" qui ressemble à un film ou un MP3 et qui exploite une version modifiée de VLC (lire le CP de VLC à ce sujet) afin de collecter de manière invisible les données présentes sur la machine en les stockant sur des fichiers invisibles sur une clé USB.

Dans un document daté de 2014, la CIA a même cherché à infecter à distance le système embarqué de certains véhicules. Flipppppaaaaant.

Pour le moment, il s'agit d'un premier jet nommé "Year Zero", et la suite devrait bientôt arriver. Selon Wikileaks, 500 programmes de la CIA ont fuité... Je pense que ça va être aussi passionnant qu'au moment des révélations de Snowden et faire prendre conscience aux gens et aux sociétés qu'on ne plaisante pas avec la sécurité (y compris celle des objets connectés).

Ce qu'il faut surtout retenir de tout ça c'est que :

• La CIA a perdu le contrôle d'une grande partie de ses outils de hack (malware, 0days, exploits...etc.)
• Cette archive en plus d'avoir été donnée a Wikileaks, est aussi dans les mains d'anciens employés gouvernementaux et de sous-traitants
• La CIA achète des failles 0day et des exploits à des sociétés privées, voire sur le maché noir.
• La CIA en plus de disposer d'un tas d'outils visant Windows, Linux, macOS, iOS, Android, tout un tas de routeurs et d'objets connectés comme les TV Samsung, sait aussi déjouer la plupart des antivirus du marché.
• La CIA collecte les signatures des attaques de pays étrangers comme la Russie pour maquiller l'origine de ses propres attaques.
• Certe, la CIA peut contourner le chiffrement de la plupart des applications de communication type WhatsApp, Signal, Telegram, Wiebo, Confide et Cloackman. Mais cela ne veut pas dire que le chiffrement de ces applications est cassé. Non, cela veut dire qu'en infectant un smartphone Android, il est possible d'intercepter les messages. Mais ça, c'est pareil avec tout... À partir du moment ou quelqu'un a la main sur votre machine avec un malware, peu importe le chiffrement que vous mettrez en place, il aura accès à vos données. Donc pas de panique, cela reste des attaques ciblées.

La CIA se comporte de manière totalement irresponsable en stockant des 0days et des exploits sans plus de contrôle. Il y aurait potentiellement 5000 accrédités CIA en contact avec un ou plusieurs de ces outils. Je comprends la finalité qui est d'espionner, mais à partir d'un certain point, quand une faille est suffisamment menaçante, il ne faut pas attendre qu'un pays ennemi (ou pas) des États-Unis la découvre et l'exploite pour son profit. C'est totalement idiot de croire qu'on est les seuls à découvrir telle ou telle faille. Fatalement un jour, elle est redécouverte par d'autres personnes.

Donc dans l'intérêt de la sécurité de tout le monde, y compris dans l'intérêt de la sécurité des États-Unis, la CIA aurait dû communiquer ces failles aux éditeurs et constructeurs, à minima américains (si on se place dans une perspective "America First" chère à Trump), pour que ces derniers corrigent et tirent la sécurité globale vers le haut.

J'invite les sociétés visées dans ces documents et celles qui s'inquiètent de leurs failles potentielles (y compris sur de l'IoT) à se rapprocher de leurs boites de sécu préférées pour lancer des audits sérieux puis à basculer en mode Bug Bounty privé puis public, via Bountyfactory.io (qui, je le rappelle n'est pas hébergé aux États-Unis, donc hors Patriot Act et compagnie).

Vous pouvez consulter le communiqué de presse ou télécharger les fichiers en torrent (pass: SplinterItIntoAThousandPiecesAndScatterItIntoTheWinds)

Cet article merveilleux et sans aucun égal intitulé : #Vault7 – Le fiasco de la CIA ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Si vous voulez centraliser vos accès SSH sur une seule machine, je vous invite à jeter un oeil à Keybox. Cette console java une fois installée et lancée sur votre machine (ou un serveur distant ou un NAS) vous offre une interface web (https://127.0.0.1:8443) qui permet de configurer vos accès à plusieurs serveurs SSH, et de gérer les utilisateurs qui accèderont à Keybox ainsi que leurs droits et surtout la possibilité de faire des trucs cool avec ces sessions SSH.

Des trucs cools comme synchroniser plusieurs terminaux pour que toutes les commandes que vous tapez le soient en même temps sur tous vos serveurs. Pratique si vous avez des choses répétitives à faire sur plusieurs d'entre eux. Vous pouvez aussi faire ça avec des scripts bash que vous pouvez lancer en simultané sur tous vos serveurs.

Lorsqu'une session est ouverte, vous pouvez aussi via le menu Keybox dupliquer vos sessions, modifier la taille du terminal et surtout pousser directement des fichiers sur votre serveur. Pratique quand si vous ne maitrisez pas la commande "scp". :-)

Keybox est pratique, car il permet aussi de gérer les clés SSH publiques de vos utilisateurs et vous pouvez les révoquer à tout moment. Et en plus il y a quelques thèmes pour ne pas vous casser les yeux sur votre terminal.

Niveau sécurité, le login par défaut est "admin" et le mot de passe est "changeme" donc il faudra bien penser à le changer. Un QR code à scanner avec votre mobile vous sera aussi proposé pour activer de l'authentification double facteur avec votre mobile (en passant par FreeOTP ou Google Authenticator).

Vous trouverez plus d'infos ici.

Cet article merveilleux et sans aucun égal intitulé : KeyBox – Une console pour centraliser vos accès SSH ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Je ne sais pas si vous suivez un peu ce qui se passe au niveau européen en matière de protection des données personnelles, mais le 27 avril dernier, après 4 ans de négociations tendues, l'Europe a voté le RGPD (pour "Règlement général sur la protection des données" ou en anglais : General Data Protection Regulation, GDPR)

La RGPD doit permettre d’harmoniser le droit de la protection des données personnelles au sein de l’Union européenne et de moderniser ses principes à l’ère numérique. Dit comme ça c'est pas passionnant mais vous allez voir, ce texte est très important.

En effet, cela va obliger toutes les entreprises européennes à adapter leurs outils et leurs procédures avant l'application du texte le 25 mai 2018.

En quoi ça consiste ?

Et bien comme cela va permettre de redonner aux citoyens le contrôle de leurs données personnelles (youpi !!), il faut, entre autres choses, que le consentement de l'internaute ne soit jamais implicite ou général.

Et évidemment, comme on sait très bien que certaines entreprises ne joueront pas le jeu, tous les acteurs du privé et du public vont donc devoir PROUVER la conformité légale des traitements de données personnelles mis en oeuvre chez eux.

Cela veut dire que la société que vous dirigez ou pour laquelle vous travaillez va devoir tracer et documenter le consentement des internautes, ainsi que l'autorisation d'accès, de rectification, de suppression et d'opposition à ces données personnelles. Sans oublier les nouveaux droits qui sont créés pour l'occasion tels que le droit de portabilité des données ou un droit offrant des limites dans le traitement de celles-ci.

L’article 32 du RGPD sur la sécurité des traitements de données précise les différents critères que les sociétés doivent prendre en compte pour déterminer le niveau de sécurité à adopter. Par exemple: l’état de l’art, les coûts de mise en œuvre de la sécurité, le traitement concerné y compris sa finalité et son contexte, et la probabilité et la gravité des risques pour les droits et libertés des personnes.

La logique consiste à adapter les mesures de sécurité aux risques identifiés pour les traitements de données personnelles.

Attention, grosse innovation, le RGPD prévoit aussi l’évaluation des risques sur la vie privée présentés par le traitement de données. Il incombe alors aux sociétés de réaliser une étude d’analyse d’impact pour tous les traitements de données susceptibles de générer un risque élevé sur la vie privée des personnes concernées.

Selon le RGPD, certains traitements de données sont considérés comme risqués et soumis à une étude d’analyse d’impact, du fait de la nature des données traitées (traitement à grande échelle de données sensibles ou pénales) ou de leur finalité (profilage, surveillance à grande échelle de zones accessibles au public …).

S’agissant des garanties à mettre en place, l’article 32 énumère certaines mesures susceptibles d’être utilisées par les sociétés tels que :

• le recours à la pseudonymisation
• le chiffrement des données
• l’adoption de moyens permettant de garantir la confidentialité
• l’intégrité, la disponibilité et la résilience des systèmes
• l’adoption de moyens permettant de rétablir la disponibilité et l’accès aux données personnelles en cas d’incident technique ou physique
• la vérification régulière des mesures

Les codes de bonne conduite et les certifications mentionnés dans le RGPD sont des solutions également susceptibles d’être envisagées en ce qui concerne la sécurité.

Et lorsque la fameuse étude d’analyse d’impact révèle un niveau de risque élevé il est obligatoire de consulter la CNIL avant la mise en œuvre du traitement de données concerné. Cela implique notamment que les mesures dédiées à la sécurité du traitement doivent être communiquées à la CNIL qui décide ensuite si elles sont suffisantes afin de valider ou non le traitement.

Toujours selon ce texte, la sécurité des données impose aussi aux entreprises de notifier à la CNIL toutes violations de données personnelles dans la limite de 72 heures après en avoir eu connaissance dans un premier temps. Mais aussi à la personne concernée en cas de mesures de sécurité jugées insuffisantes par la CNIL.

Cette obligation est étendue aux sous-traitants qui doivent notifier aux sociétés, les violations de données dès qu’ils en ont connaissance. Ces violations de données sont généralement la conséquence d’un ou de plusieurs incidents de sécurité (ex : introduction frauduleuse dans le SI, extraction, reproduction ou diffusion de données).

Et si on décide de ne rien faire ?

Et bien, PAF, sanction ! C'est la CNIL qui s'en chargera en France, distribuant de jolies amendes allant jusqu'à 4% du chiffre d’affaires mondial de l’entreprise ou 20 millions d’euros max. Pour les autres violations des obligations prévues par le RGPD, les sanctions pourront aller jusqu’à 2% du chiffre d'affaire mondial ou 10 millions d’euros max.

Bon OK alors faut faire quoi ?

Vous l'aurez compris, en plus d'offrir à l'internaute un haut niveau de sérénité concernant ses données personnelles, la détection des incidents et leur rectification en amont permettent d’éviter la notification puisqu’il n’y a pas de violation.

Cette nouvelle réglementation impose l’établissement d’un état des lieux des traitements de données mis en œuvre au sein de la société, ce qui permettra notamment de déterminer les priorités pour la mise en conformité ainsi que son accompagnement.

Je vais donc prêcher pour ma paroisse, mais sur le plan de la sécurité, l’introduction de la pratique du Bug Bounty me semble vivement recommandée afin de détecter les incidents de sécurité en amont, et donc de les prévenir en corrigeant les failles découvertes.

Voilà pour le petit topo sur le GDPR, j'espère que ça vous a plu. Si vous voulez plus d'infos, le texte officiel est disponible ici en PDF.

Merci beaucoup à Eric A. Caprioli, Avocat à la Cour, Docteur en droit, membre de la délégation française aux Nations Unies et à Isabelle Cantero, Avocat associé (Caprioli & Associés), responsable du Pôle Vie privée et données personnelles pour leur aide dans la rédaction de cet article.

Cet article merveilleux et sans aucun égal intitulé : ⚡️ GDPR / RGPD ⚡️ – Le réglement européen qui va protéger les internautes, et donner du boulot de mise en conformité aux entreprises ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Aujourd'hui, je vous propose de continuer à jouer un peu avec votre Raspberry Pi en jetant un oeil au système de fichier F2FS conçu par un ingénieur de Samsung en 2012. Ce nouveau système de fichier tient compte des particularités des mémoires flash (NAND). F2FS repose sur un système de fichier journalisé et ses algos de nettoyage ou d'allocation de la donnée sont pensés pour respecter la "geométrie" interne des mémoires NAND. Vous pouvez avoir plus d'infos sur le F2FS ici.

Il parait que c'est le jour et la nuit pour le Raspberry Pi, donc je vous propose qu'on teste ça ensemble dans cet article que je vais rédiger en même temps que je fais les manips.

Première étape, prendre la carte mémoire du Raspberry Pi et la connecter à son ordinateur. Pour cela j'utilise un petit adaptateur USB.

Autre petit détail qui a son importance, vous devez être sous Linux pour faire les manips. Peut être que ça fonctionne avec le shell bash de Windows 10, mais je ne me drogue pas encore assez pour partir dans le délire.

Je vais donc me mettre sous Ubuntu pour faire ça. Ouvrez donc un terminal et créez un répertoire qui va servir à stocker temporairement les fichiers de votre Raspberry Pi, le temps de formater tout ça.

mkdir ~/backup_sd

Copiez ensuite le contenu de la partition de votre carte mémoire vers le dossier backup_sd

sudo cp -v -a /media/username/votrecartememoire/* ~/backup_sd

Une fois la copie terminée, on va installer le package f2fs-tools qui va nous permettre de formater en F2FS.

sudo apt-get install f2fs-tools

Puis repérez le chemin d'accès à la partition de votre carte mémoire avec la commande suivante :

df -h

Vous pouvez aussi faire un...

sudo fdisk -l

...pour trouver la même chose. Chez moi c'est /dev/sdb2 donc c'est ce que je mettrais dans les commandes suivantes, mais pensez bien à remplacer par votre chemin à vous et attention aux erreurs.

Pensez bien, aussi, à démonter la partition de la carte mémoire une fois que la copie des fichiers est terminée avec un petit :

sudo umount /media/username/votrecartememoire

On va maintenant formater la partition de votre carte mémoire avec la commande :

sudo mkfs.f2fs /dev/sdb2

Dès que c'est fait, il faut monter cette partition avec la commande suivante pour y recopier tous vos fichiers :

sudo mount -t f2fs /dev/sdb2 /media/username/votrecartememoire

Et faites une copie des fichiers dans l'autre sens :

sudo cp -v -a ~/backup_sd/* /media/username/votrecartememoire

Ensuite, il convient d'éditer le fichier /etc/fstab de la carte mémoire pour y modifier la ligne suivante.

sudo nano /media/username/votrecartememoire/etc/fstab

Et modifiez la ligne concernant mmcblk0p2 (La partoche de votre carte mémoire) pour remplacer ext4 par f2fs et mettre les paramètres "defaults,noatime,discard"

/dev/mmcblk0p2       /       f2fs        defaults,noatime,discard  0 1

Éditez ensuite le fichier suivant qui se trouve sur la partition boot de votre carte mémoire :

sudo nano /media/username/boot/cmdline.txt

et remplacez ext4 par f2fs dans le paramètre suivant :

rootfstype=f2fs

Puis démontez la carte mémoire OKLM avec les commandes :

sudo umount /dev/sdb2

sudo umount /dev/sdb1

Et voilà. Remettez ensuite votre carte mémoire dans votre Raspberry Pi, serrez les fesses et démarrez-le.

En ce qui me concerne, aucun souci, ça fonctionne parfaitement. Maintenant concernant les performances, je n'ai pas encore assez de recul mais j'éditerai surement cet article le moment venu. Faut que je refasse la manip sur ma Recalbox maintenant.

Source

Cet article merveilleux et sans aucun égal intitulé : F2FS – Le système de fichiers pensé pour Raspberry Pi (et comment l’installer) ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Le troll, cet être étrange qui parcourt le web à la recherche d'espaces d'expressions afin d'y déverser son fiel, va devoir se mettre à la lecture. Héhé :)

En effet, NRKbeta, la section Tech du groupe de TV/Radio publique norvégienne du presque-même nom (NRK) a eu une bonne idée pour leur rendre la vie un peu plus difficile.

Ils ont mis en place sur certains de leurs articles, grâce à un plugin WordPress développé en interne, un petit questionnaire auquel doivent répondre ceux qui veulent commenter. Le QCM est simple et porte uniquement sur l'article en cours. Ainsi, ceux qui sans vraiment lire ni comprendre un article, viennent insulter, critiquer ou y défendre des causes hors sujets, devront passer leur chemin ou faire l'effort de lire entièrement la news, pour pouvoir répondre correctement aux questions et se voir déverrouiller l'accès au formulaire de commentaires.

C'est très malin, et ainsi NRK s'assure d'avoir des messages constructifs (positifs ou négatifs) qui soient en rapport avec le sujet de l'article.

De ma propre expérience, je peux vous dire que sur le web, pas mal de gens lisent uniquement le titre de l'article et viennent dans la seconde, déposer un commentaire tout pourri dessous, sans même avoir lu une phrase de celui-ci. En plus de passer pour de complets idiots, ils sont aussi très agaçants pour ceux qui produisent le contenu ou ceux qui prennent plaisir à débattre de manière construite.

De mon côté, après m'être débattu pendant longtemps avec un paquet de relous, de trolls et de haters, j'ai déporté le système de commentaires de WordPress sur un Discourse, ce qui d'une part, est plus sympa pour l'utilisateur quotidien en termes de fonctionnalités et d'ergonomie et qui d'autre part, exige pour s'inscrire et venir commenter, un peu plus d'effort et de cervelle.

Ainsi, la plupart des boulets de passage qui ne font pas partie des lecteurs réguliers du site abandonnent très rapidement leur envie de commenter.

Source

Cet article merveilleux et sans aucun égal intitulé : Un nouveau moyen de contrer les trolls ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.